Los hackers aprovechan el fallo Follina para desplegar la puerta trasera Rozena

Una campaña de phishing recientemente observada está aprovechando la vulnerabilidad de seguridad Follina, recientemente revelada, para distribuir una puerta trasera no documentada previamente en sistemas Windows.

“Rozena es un malware de puerta trasera que es capaz de inyectar una conexión shell remota de vuelta a la máquina del atacante”,

dijo la investigadora de Fortinet FortiGuard Labs Cara Lin en un informe de esta semana.

Rastreada como CVE-2022-30190, la vulnerabilidad de ejecución remota de código de la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT), ahora parcheada, ha sido objeto de una fuerte explotación en las últimas semanas desde que salió a la luz a finales de mayo de 2022.

El punto de partida de la última cadena de ataques observada por Fortinet es un documento de Office convertido en arma que, al abrirse, se conecta a una URL de CDN de Discord para recuperar un archivo HTML (“index.htm”) que, a su vez, invoca la utilidad de diagnóstico mediante un comando de PowerShell para descargar las cargas útiles de la siguiente fase desde el mismo espacio adjunto de CDN.

Esto incluye el implante Rozena (“Word.exe”) y un archivo por lotes (“cd.bat”) que está diseñado para terminar los procesos de MSDT, establecer la persistencia de la puerta trasera mediante la modificación del Registro de Windows y descargar un documento inofensivo de Word como señuelo.

La función principal del malware es inyectar shellcode que lanza un shell inverso al host del atacante (“microsofto.duckdns[.]org”), lo que en última instancia permite al atacante tomar el control del sistema necesario para monitorizar y capturar información, manteniendo además una puerta trasera al sistema comprometido.

La explotación del fallo Follina para distribuir malware a través de documentos de Word maliciosos se produce en forma de ataques de ingeniería social que se basan en Microsoft Excel, accesos directos de Windows (LNK) y archivos de imagen ISO como droppers para desplegar malware como Emotet, QBot, IcedID y Bumblebee en el dispositivo de la víctima.

Se dice que los droppers se distribuyen a través de correos electrónicos que contienen directamente el dropper o un ZIP protegido por contraseña como archivo adjunto, un archivo HTML que extrae el dropper cuando se abre, o un enlace para descargar el dropper en el cuerpo del correo electrónico.

Mientras que los ataques detectados a principios de abril tenían como protagonistas a archivos de Excel con macros XLM, la decisión de Microsoft de bloquear las macros por defecto en esa misma época habría obligado a los actores de la amenaza a recurrir a métodos alternativos como el contrabando de HTML y los archivos .LNK e .ISO.

El mes pasado, Cyble desveló los detalles de una herramienta de malware llamada Quantum que se vende en foros clandestinos para dotar a los ciberdelincuentes de la capacidad de crear archivos .LNK e .ISO maliciosos.

Vale la pena señalar que las macros han sido un vector de ataque probado para los adversarios que buscan lanzar ransomware y otro malware en los sistemas Windows, ya sea a través de correos electrónicos de phishing u otros medios.

Desde entonces, Microsoft ha suspendido temporalmente sus planes de deshabilitar las macros de Office en los archivos descargados de Internet, y la compañía ha dicho a The Hacker News que se está tomando el tiempo para hacer “cambios adicionales para mejorar la usabilidad”.

Fuente: thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies