A todos nos gusta la música, incluso a los cibercriminales. Un reporte de la firma de ciberseguridad AppRiver menciona que una campaña de malware desplegado vía PowerPoint contiene la letra de ‘In My Feelings’, del popular artista Drake, oculta un un comando PowerShell.
El hacker, que se autonombra “Master X”, infecta a sus objetivos con dos clases de malware diferentes: Lokibot, un software para el robo de información, o bien usando Azorult, un troyano de acceso remoto (RAT). Al parecer el hacker comienza analizando las características del sistema infectado para después elegir la variante de malware adecuada.
En su reporte, la firma de ciberseguridad indica que el ataque comienza con un email de phishing dirigido a empresas previamente seleccionadas por el ataque. Este email contiene archivos adjuntos de PowerPoint cargados de malware.
Cuando la víctima abre el archivo adjunto, se ejecuta un script que emplea el host de la aplicación HTML de Microsoft para redirigir al usuario a una URL acortada y evadir las protecciones de seguridad propias del navegador web.
Posteriormente se crea una tarea programada que llega a la URL de Pastebin cada 60 minutos para recuperar un script que decide si el usuario será infectado con Lokibot o Azorult. Cuando el script se decodifica y traduce a un guión de PowerShell, se puede apreciar un fragmento de la letra de la popular canción (Kiki do you love me) como parte del proceso de infección.
Finalmente, este script descarga un archivo ejecutable malicioso llamado calc.exe, para completar el proceso de infección. En el reporte, la firma de ciberseguridad menciona que no hay certeza sobre en rango de éxito del ataque, pues hasta ahora se conocen muy pocos casos de infección. Lo cierto es que los pocos usuarios que lograron detectar el script se mencionaron sorprendidos con el retorcido sentido del humor del hacker al usar el fragmento de la canción.
No obstante, expertos del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que este es un desarrollo malicioso avanzado pues, a partir de las características del sistema objetivo, Master X puede elegir con qué variante de malware infectar a la víctima, una muestra clara de la complejidad del ataque. Aunque sólo hayan sido reportados unos cuantos casos, se recomienda a los usuarios mantenerse alertas ante cualquier intento de hacking, ignorando correos de apariencia ilegítima o con adjuntos no solicitados.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad