Es probable que los actores de amenazas estén utilizando una herramienta diseñada para ejercicios de equipos rojos para distribuir malware, según nuevos hallazgos de Cisco Talos.
El programa en cuestión es un marco de generación de carga útil llamado Paquete de macrosque ayuda a generar documentos de Office, scripts de Visual Basic, accesos directos de Windows y otros formatos para pruebas de penetración y evaluaciones de ingeniería social. Fue desarrollado por el desarrollador francés Emeric Nasi.
La compañía de ciberseguridad dijo que encontró artefactos cargados en VirusTotal desde China, Pakistán, Rusia y Estados Unidos, todos generados por MacroPack y utilizados para entregar varias cargas útiles como Havoc, Brute Ratel y una nueva variante de PhantomCore, un troyano de acceso remoto (RAT). ) atribuido a un grupo hacktivista llamado Head Mare.
“Una característica común de todos los documentos maliciosos que analizamos y que nos llamó la atención es la existencia de cuatro subrutinas VBA no maliciosas”, dijo Vanja Svajcer, investigadora de Talos. dicho.
“Estas subrutinas aparecieron en todas las muestras y no fueron ofuscadas. Nunca habían sido utilizados por otras subrutinas maliciosas ni en ningún otro lugar de ningún documento. »
Es importante señalar aquí que los temas de estos documentos van desde temas genéricos que piden a los usuarios que habiliten macros hasta documentos de apariencia oficial que parecen provenir de organizaciones militares. Esto sugiere la participación de distintos actores de amenazas.
También se ha observado que algunos documentos aprovechan las funciones avanzadas ofrecidas como parte de MacroPack para evitar las detecciones heurísticas antimalware ocultando la funcionalidad maliciosa usando cadenas de markov para crear funciones aparentemente significativas y nombres de variables.
Las cadenas de ataques, observadas entre mayo y julio de 2024, siguen un proceso de tres pasos que implica el envío de un documento de Office trampa que contiene código MacroPack VBA, que luego decodifica una carga útil del siguiente paso para finalmente recuperar y ejecutar el malware final.
Este desarrollo es una señal de que los actores de amenazas actualizan constantemente sus tácticas en respuesta a las interrupciones y adoptan enfoques más sofisticados para la ejecución de código.