Una campaña de phishing recientemente detectada se está aprovechando de la vulnerabilidad conocida como Follina descubierta hace poco tiempo para distribuir malware que instala una puerta trasera en Windows.
Registrado como CVE-2022-30190, el ya parcheado Microsoft Windows Aid Diagnostic Software (MSDT), la vulnerabilidad de ejecución de código remoto ha sido explotado en las últimas semanas desde que salió a la luz a finales de mayo de 2022.
El punto de partida del último ataque que se ha observado ha sido Fortinet, a través de un documento Office que cuando se abre, se conecta a una URL de CDN de Discord para obtener un archivo HTML («index.htm»), que a su vez, invoca la herramienta de diagnóstico por comandos en el PowerShell para descargar las utilidades del siguiente paso desde el mismo sitio adjunto del CDN.
Esto implica el uso de Rozena («Word.exe») y un archivo («cd.bat») que se utiliza para terminar los procesos de MSDT, establecer la persistencia de la puerta trasera mediante la modificación del registro de Windows y obtener un documento inofensivo como señuelo.
La función principal del malware es inyectar shellcode que lanza un shell inverso al host del atacante, permitiendo al final que el atacante sólo tome el mando del procedimiento esperado para monitorizar y apoderarse de los hechos, aunque también conservando una puerta trasera para el proceso comprometido.
Aunque los ataques detectados a principios de abril se centraron principalmente en el uso de Excel con macros XLM, la decisión final de Microsoft de bloquear las macros por defecto habría obligado a los actores del ataque a recurrir a otros métodos.
Es digno de mención que las macros han sido un vector de ataque, probado y comprobado para los delincuentes para infectar con ransomware u otro tipo de malware en los sistemas de Windows
fuente: unaaldia