Archivos de texto CSV maliciosos utilizados para instalar el malware BazarBackdoor

Una nueva campaña de phishing utiliza archivos de texto CSV especialmente diseñados para infectar los dispositivos de los usuarios con el malware BazarBackdoor. Un archivo de valores separados por comas (CSV) es un archivo de texto que contiene líneas de texto con columnas de datos separados por comas. En muchos casos, la primera línea de […]

Una nueva campaña de phishing utiliza archivos de texto CSV especialmente diseñados para infectar los dispositivos de los usuarios con el malware BazarBackdoor.

Un archivo de valores separados por comas (CSV) es un archivo de texto que contiene líneas de texto con columnas de datos separados por comas. En muchos casos, la primera línea de texto es el encabezado o descripción de cada columna.

Por ejemplo, a continuación se ilustra un archivo de texto CSV muy básico que contiene las capitales de algunos estados de EE. UU. Observe cómo las comas separan cada columna de datos (estados y capitales).

State,Capital
Alabama,Montgomery
Alaska,Juneau
Arizona,Phoenix
Arkansas,Little Rock
California,Sacramento
Colorado,Denver
Connecticut,Hartford
Delaware,Dover
Florida,Tallahassee

Como se puede ver arriba, el archivo no contiene nada más que texto, pero cuando se carga en Excel, los datos se presentan con cada línea en su propia fila y los datos separados por comas en columnas de datos.

El uso de CSV es un método popular para exportar datos de aplicaciones que luego se pueden importar a otros programas como fuente de datos, ya sea Excel, una base de datos, administradores de contraseñas o software de facturación.

Dado que un CSV es simplemente texto sin código ejecutable, muchas personas consideran que este tipo de archivos son inofensivos y pueden ser más despreocupados al abrirlos.

Sin embargo, Microsoft Excel admite una función llamada Intercambio dinámico de datos (DDE), que se puede usar para ejecutar comandos cuyo resultado se ingresa en la hoja de cálculo abierta, incluidos los archivos CSV.

Desafortunadamente, los actores de amenazas también pueden abusar de esta función para ejecutar comandos que descargan e instalan malware en víctimas desprevenidas.

El archivo CSV usa DDE para instalar BazarBackdoor

Una nueva campaña de phishing detectada por el investigador de seguridad Chris Campbell está instalando el troyano BazarLoader/BazarBackdoor a través de archivos CSV maliciosos.

BazarBackdoor es un malware de puerta trasera sigiloso creado por el grupo TrickBot para proporcionar a los actores de amenazas acceso remoto a un dispositivo interno que puede usarse como trampolín para un mayor movimiento lateral dentro de una red.

Los correos electrónicos de phishing pretenden ser “Aviso de remesa de pago” con enlaces a sitios remotos que descargan un archivo CSV con nombres similares a ‘document-21966.csv’.

Como todos los archivos CSV, el archivo document-21966.csv es solo un archivo de texto, con columnas de datos separadas por comas.

Sin embargo, el lector astuto notará que una de las columnas de datos contiene una extraña llamada WMIC en una de las columnas de datos que inicia un comando de PowerShell.

Esto =WmiC| El comando es una función DDE que hace que Microsoft Excel, si tiene permiso, inicie WMIC.exe y ejecute el comando de PowerShell proporcionado para ingresar datos en el libro de trabajo abierto.

En este caso particular, el DDE usará WMIC para crear un nuevo proceso de PowerShell que abre una URL remota que contiene otro comando de PowerShell que luego se ejecuta.

El comando de script remoto de PowerShell, que se muestra a continuación, descargará un archivo picture.jpg y lo guardará como C:\Users\Public\87764675478.dll. Este programa DLL luego se ejecuta usando el comando rundll32.exe.

Revísa el artículo completo de BleepingComputer acá.