Microsoft Office 365 los usuarios son las víctimas más recientes de ataques masivos de phishing diseñados para chantajearlos para que abran archivos de malware. Los archivos maliciosos se alojan en archivos SLK que también incluyen un nuevo mecanismo de infección.
Nueva técnica de intrusión utilizada para estafar a Microsoft Office 365 Usuarios para abrir archivos SLK
Los delincuentes informáticos buscan constantemente nuevos métodos para infectar a posibles usuarios maliciosos. En este caso particular, los delincuentes se han centrado en usuarios de Microsoft Office 265 usuarios. Por esta razón, el grupo de piratería ha ideado una nueva estrategia de infección que se describe como un enfoque novedoso para eludir la seguridad predeterminada de la aplicación. La estrategia ideada por los atacantes es la omisión de Microsoft Office 365 opciones, incluidas las disposiciones de seguridad avanzadas.
La estrategia de infección implica la distribución del uso de Archivos SLK que se adjuntan en mensajes de correo electrónico de phishing dirigido a los usuarios. Los hackers pueden intentar usar varias estrategias:
- Phishing mensajes de correo electrónico — Los hackers se harán pasar por compañías y servicios conocidos por las víctimas.. Estos mensajes contendrán gráficos robados o falsificados y contenido que se verá como los sitios reales. Al abrirlos, los archivos se pueden vincular o adjuntar.
- Los mensajes de spam — Los mensajes que se envían en masa se pueden usar como portadores de la infección.. En este caso, se pueden programar escenarios genéricos para llevar las amenazas.
- Archivos portadores de malware — La infección puede formar parte de los archivos del operador que instalarán la amenaza tan pronto como se ejecuten. Ejemplos de ello son documentos macro-infectados (de todos los formatos populares) y instaladores paquete de aplicaciones — los piratas informáticos insertarán el código relevante en los archivos de configuración del software que los usuarios finales suelen instalar.
Los ataques comienzan con la ejecución del adjunto. Archivos SLK. Contienen un macro script malicioso que lanzará el correspondiente mecanismo de entrega responsable de descargar el código de malware. Esto desplegará un troyano de acceso remoto lo que permitirá a los hackers tomar el control de las máquinas infectadas. Esto se realiza instalando un cliente local en el sistema que establecerá una conexión a un servidor controlado por piratas informáticos operado por el grupo criminal.
El archivo SLK real es un formato basado en texto que se utiliza en el software de hojas de cálculo (como Microsoft Excel) que no se usa con frecuencia. Sin embargo, todavía se usa en algunos casos y puede abrirse con la mayoría de las versiones modernas del programa.. En este caso No muchas organizaciones han sido afectadas — es muy posible que esto se haga en una campaña específica.
Para este ataque en particular, la campaña fue dirigida desde Hotmail bandejas de entrada alojadas. Son los remitentes de los correos electrónicos de malware e incluyen archivos peligrosos que incluyen macros. Los hackers usarán varios personajes, incluidos ^ para evitar los filtros de seguridad de correo electrónico — esto evadirá ciertas comprobaciones de antivirus. La URL real también se dividirá en dos partes, lo que evitará que el sistema de seguridad la lea como un enlace web..
Al ver cómo se siguen enviando estos ataques contra empresas y servicios, es muy posible que los hackers continúen con los intentos de intrusión en el futuro.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: