APOMacroSploit: Nuevo generador de malware de Office

Una investigación de CheckPoint arrojó un nuevo generador de malware de Office que se llama APOMacroSploit. Este se detectó en noviembre y estuvo involucrado en varios correos electrónicos maliciosos a más de 80 clientes en todo el mundo.

Los expertos han afirmado que APOMacroSploit es un constructor de macros que se creó para convertir en armas los documentos de Excel y los utilizó en múltiples ataques de phishing. 

Los piratas informáticos que estaban detrás de la herramienta se han actualizado continuamente para evadir la detección, pero los investigadores de Check Point fueron lo suficientemente capaces y revelaron a uno de los actores de amenazas que estaba detrás del constructor. 

La campaña y el documento malicioso

Según los expertos, hay casi 40 piratas informáticos diferentes que participaron en esta campaña maliciosa y utilizaron 100 correos electrónicos maliciosos diferentes para ejecutar los ataques. 

Además, los expertos también han afirmado que los ataques a los informes de telemetría se han producido en 30 países diferentes.

Mientras que en el caso del documento malicioso, el documento malicioso principal que recibió el cliente fue un archivo XLS que contiene una macro XLM intoxicada que se denomina ‘Macro 4.0’. 

Aquí, el atacante configura la macro de una manera que se activa cuando la víctima abre el documento malicioso y comienza a descargar el archivo BAT infectado de cutt.ly.

APOMacroSploit y los actores de amenazas

APOMacroSploit es un generador de macro exploits que genera documentos de Excel que pueden eludir soluciones de seguridad como Windows Antimalware Scan Interface (AMSI), mecanismos de seguridad de Gmail y otras herramientas anti-phishing.

Es obra de los ciberdelincuentes franceses conocidos como Apocaliptique y Nitrix. Y según los cálculos de los investigadores de seguridad, hasta ahora ya han ganado más de $ 5,000 de las ventas de APOMacroSploit en el foro de ciberdelincuentes “HackForums.net” en solo un mes.

Archivo BAT

La infección de malware comienza cuando se habilita el contenido dinámico de un documento XLS adjunto a un correo electrónico de phishing y la macro XLM comienza a descargar automáticamente el script de comando para Windows.

Aquí, los actores de amenazas han cometido un error muy común y clave, ya que aquí el script que se extrae del cutt.ly, simplemente redirecciona a un servidor de descarga donde se encuentran varios scripts BAT, y aquí no realiza la solicitud en el back end. 

En resumen, los actores de amenazas, Apocaliptique y Nitrix, han producido un archivo BAT que se utilizó en el ataque. Además, la captura de pantalla muestra claramente que los actores de amenazas no solo venden sus herramientas de ataque, sino que también se han involucrado en la creación y el alojamiento del malware.

Aparte de esto, el archivo de script BAT ofrecido también es responsable de ejecutar el malware «fola.exe» en los sistemas Windows si las versiones son: 

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7