Especialistas en ciberseguridad han alertado de una campaña maliciosa para distribuir malware a través de correos electrónicos con presuntos archivos de Microsoft OneNote adjuntos, los cuales en realidad instalan software malicioso en segundo plano en los dispositivos de los usuarios afectados y que pueden robar incluso hasta criptoactivos.
Fue un grupo de investigadores de la compañía de ciberseguridad Trustwave quienes detectaron a mediados de diciembre del año pasado una campaña sospechosa de ser fraudulenta, ya que en el correo electrónico se incluía un archivo con terminación .one.
Justamente una extensión poco habitual para la plataforma de mensajería y es por eso que los investigadores decidieron analizarla, determinando que se desplegaba un boton que invitaba a ver un documento.
En concreto lo que se colocan cuatro archivos WSF con carga malisiosa, ocultos bajo un botón superpuesto que los abarca y oculta e invita a los usuarios a hacer doble-click para visualizar el archivo.
Al dar click en calquier punto del mismo el usuario ejecuta uno de los archivos al azar por lo que el sistema lanza una alerta mediante la cual se le informa al usuario que está iniciando un archivo adjunto y que existe el riesgo de dañar al equipo y los datos que este contiene.
Y aunque se le muestran los botones al usuario para “aceptar” o “rechazar” el abrir el archivo, según BleepingComputer, la gran mayoría de los usuarios pulsa “aceptar” para continuar con el proceso, sin detenerse a leer lo que menciona la notificación que les ha saltado en la pantalla.
Ya que se ha aceptado esta operación se inicia un script VBS que descarga e instala el malware, el cual descarga y ejecuta dos archivos desde un servidor remoto, el primero es un documento señuelo, lo que quiere decir que los usuarios afectados lo pueden ver como si se tratara de un documento auténtico.
Sin embargo el archivo VBS ejecuta otro malicioso en segundo plano para instalar un malware en el dispositivo.
El objetivo de estos archivos malware es robar información del dispositivo, además de que con él los actores de amenazas también pueden acceder al dispositivo de forma remota, esto con el fin de robar archivos, guardar las contraseñas de los navegadores que se usen en el dispositivo, tomar capturas de pantalla, grabar videos utilizando la webcam del dispositivo e incluso sustraer activos de criptomonedas.
BleepingComputer de hecho señala que a diferencia de otros programas de Microsoft como Word, OneNote, no admite macros (una serie de instrucciones que se almacenan en el sistema para que se puedan ejecutar de forma secuencial mediante una única orden de ejecución).
Sino en cambio, permite a los usuarios insertar archivos adjuntos unicamente haciendo doble-click en un botón. Es por eso que los ciberdelincuentes hayan desarrollado un botón de señuelo a fin de engañar a quienes reciben los emails y poder propagar los archivos maliciosos con el fin de obtener información que les sea útil para sus fines.
Fuente: Europa Press.
