El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto nuevas herramientas de ataque utilizadas por el grupo Gamaredon –un grupo activo al menos desde 2013– en sus últimas campañas.
Una de las herramientas descubiertas va dirigida contra Microsoft Outlook y utiliza un proyecto Visual Basic para aplicaciones (VBA) personalizado. Este malware permite al atacante utilizar la cuenta de correo de la víctima para enviar correos fraudulentos dirigidos a contactos de la agenda. La otra herramienta descubierta por ESET se utiliza para inyectar macros y referencias en plantillas remotas de documentos de Office (tanto Word como Excel). El uso de macros de Outlook para distribuir malware es algo muy poco común en la actualidad. ESET detecta las diferentes variantes de malware usadas en estas campañas por Gamaredon como MSIL/Pterodo, Win32/Pterodo o Win64/Pterodo.
“En los últimos meses ha habido un incremento en la actividad de este grupo, con oleadas constantes de correos maliciosos que llegaban a los buzones de las víctimas. Los documentos adjuntos a estos mails incluyen macros maliciosas que, cuando se ejecutan, intentan descargar una gran variedad de tipos diferentes de malware”, alerta Jean-Ian Boutin, responsable de investigaciones de amenazas en ESET.
Las últimas herramientas de Gamaredon inyectan macros o referencias a plantillas remotas en los documentos existentes en el sistema atacado, una forma muy efectiva de introducirse en la red de una organización, ya que los documentos suelen ser compartidos de forma rutinaria por diferentes compañeros de trabajo. Además, gracias a una función especial que falsifica la configuración de seguridad de las macros de Microsoft Office, el usuario afectado no sabe que está comprometiendo su dispositivo cada vez que abre los documentos.
