Campaña maliciosa utiliza Windows 11 »Alpha» como señuelo

Una nueva campaña de archivos maliciosos se detectó con el tema Windows 11 como señuelo, aprovechando la cantidad de usuarios a nivel global que desean conocer el sistema operativo nuevo de MS.

Ante la ansiedad de muchos usuarios por el lanzamiento de Windows 11, el grupo de ciberataques FIN7 aprovechó la oportunidad para generar archivos maliciosos con la temática de ese windows.

El objetivo para los atacantes era engañar a las víctimas enviando un archivo .doc malicioso que contenía ciertas instrucciones para poder ejecutarlo y que simulaba estar creado con esta nueva versión de sistema operativo.

El maldoc tiene texto/imagen de Windows 11, el cual engaña al usuario para que habilite la macro que descarga una puerta trasera de JavaScript.

Los investigadores han examinado alrededor de seis documentos y han afirmado que la puerta trasera caída es una variante de una carga útil empleada a menudo por el grupo FIN7 desde 2018.

Los nombres usados ​​en la campaña insinúan que la actividad podría haber ocurrido entre junio y julio. Esto es más o menos al mismo tiempo que las noticias relacionadas con Windows 11 comenzaron a aparecer en los portales.

El engaño

El documento afirma haber sido creado con un nuevo sistema operativo y engaña a los usuarios de que existe un problema de compatibilidad. Impide que los usuarios accedan al contenido y, supuestamente, el problema se puede resolver siguiendo las instrucciones que se incluyen en el mismo.

Estas llevan a las víctimas a activar y ejecutar el VBA malicioso incrustado dentro del documento. El código está ofuscado para frustrar el análisis, aunque hay formas de limpiarlo, después de lo cual solo quedan las cadenas relacionadas.

VBScript usa algunos valores codificados dentro de una tabla oculta (en el documento) para realizar verificaciones de idioma en la computadora de destino.

La identificación de ciertos idiomas (serbio, ruso, moldavo, ucraniano, sorabo, esloveno, eslovaco y estonio) detiene la actividad maliciosa y elimina la tabla con valores codificados.

Además, el código busca el dominio CLEARMIND, que parece ser una referencia a un proveedor de PoS en los EE. UU.

Además, el código también realiza otras comprobaciones, como la detección del entorno de la máquina virtual (si se identifica, el script finaliza), la preferencia de idioma de la clave de registro para el ruso, la memoria disponible y la comprobación de RootDSE a través de LDAP.