Diario Informe

Archivos de texto CSV maliciosos utilizados para instalar el malware BazarBackdoor

Una nueva campaña de phishing utiliza archivos de texto CSV especialmente diseñados para infectar los dispositivos de los usuarios con el malware BazarBackdoor.

Un archivo de valores separados por comas (CSV) es un archivo de texto que contiene líneas de texto con columnas de datos separados por comas. En muchos casos, la primera línea de texto es el encabezado o descripción de cada columna.

Por ejemplo, a continuación se ilustra un archivo de texto CSV muy básico que contiene las capitales de algunos estados de EE. UU. Observe cómo las comas separan cada columna de datos (estados y capitales).

State,Capital
Alabama,Montgomery
Alaska,Juneau
Arizona,Phoenix
Arkansas,Little Rock
California,Sacramento
Colorado,Denver
Connecticut,Hartford
Delaware,Dover
Florida,Tallahassee

Como puede ver arriba, el archivo no contiene nada más que texto, pero cuando se carga en Excel, los datos se presentan con cada línea en su propia fila y los datos separados por comas en columnas de datos.

Archivo CSV de ejemplo cargado en Microsoft Excel
Archivo CSV de ejemplo cargado en Microsoft Excel
Fuente: BleepingComputer

El uso de CSV es un método popular para exportar datos de aplicaciones que luego se pueden importar a otros programas como fuente de datos, ya sea Excel, una base de datos, administradores de contraseñas o software de facturación.

Dado que un CSV es simplemente texto sin código ejecutable, muchas personas consideran que este tipo de archivos son inofensivos y pueden ser más despreocupados al abrirlos.

Sin embargo, Microsoft Excel admite una función llamada Intercambio dinámico de datos (DDE), que se puede usar para ejecutar comandos cuyo resultado se ingresa en la hoja de cálculo abierta, incluidos los archivos CSV.

Desafortunadamente, los actores de amenazas también pueden abusar de esta función para ejecutar comandos que descargan e instalan malware en víctimas desprevenidas.

El archivo CSV usa DDE para instalar BazarBackdoor

A nueva campaña de phishing descubierto por un investigador de seguridad chris campbell está instalando el troyano BazarLoader / BazarBackdoor a través de archivos CSV maliciosos.

BazarBackdoor es un malware de puerta trasera sigiloso creado por el grupo TrickBot para proporcionar a los actores de amenazas acceso remoto a un dispositivo interno que puede usarse como trampolín para un mayor movimiento lateral dentro de una red.

Los correos electrónicos de phishing pretenden ser "Aviso de remesa de pago" con enlaces a sitios remotos que descargan un archivo CSV con nombres similares a 'document-21966.csv'.

BazarCorreo electrónico de phishing de puerta trasera
BazarCorreo electrónico de phishing de puerta trasera
Fuente: @phage_nz

Como todos los archivos CSV, el archivo document-21966.csv es solo un archivo de texto, con columnas de datos separadas por comas, como se ve a continuación.

El archivo document-21966.csv abierto en un editor de texto
El archivo document-21966.csv abierto en un editor de texto
Fuente: BleepingComputer

Sin embargo, el lector astuto notará que una de las columnas de datos contiene una extraña llamada WMIC en una de las columnas de datos que inicia un comando de PowerShell.

Esta =WmiC| El comando es una función DDE que hace que Microsoft Excel, si tiene permiso, inicie WMIC.exe y ejecute el comando de PowerShell provisto para ingresar datos en el libro de trabajo abierto.

En este caso particular, el DDE usará WMIC para crear un nuevo proceso de PowerShell que abre una URL remota que contiene otro comando de PowerShell que luego se ejecuta.

El comando de script remoto de PowerShell, que se muestra a continuación, descargará un archivo picture.jpg y lo guardará como C: Users Public 87764675478.dll. Este programa DLL luego se ejecuta usando el comando rundll32.exe.

PowerShell ejecutado para descargar BazarLoader
PowerShell ejecutado para descargar BazarLoader
Fuente: BleepingComputer

El archivo DLL [Tria.ge sample] instalará BazarLoader y, en última instancia, implementará BazarBackdoor y otras cargas útiles en el dispositivo.

Afortunadamente, cuando este archivo CSV se abre en Excel, el programa detectará la llamada DDE y pedirá al usuario que "habilite la actualización automática de enlaces", lo que está marcado como un problema de seguridad.

Confirme si DDE debe estar habilitado
Confirme si DDE debe estar habilitado
Fuente: BleepingComputer

Incluso si habilitan la función, Excel les mostrará otro mensaje que confirma si se debe permitir que WMIC comience a acceder a los datos remotos.

Microsoft Excel solicita confirmar si se debe ejecutar WMIC
Microsoft Excel solicita confirmar si se debe ejecutar WMIC
Fuente: BleepingComputer

Si el usuario confirma ambas indicaciones, Microsoft Excel iniciará los scripts de PowerShell, se descargará y ejecutará la DLL y se instalará BazarBackdoor en el dispositivo.

Si bien esta amenaza requiere que los usuarios confirmen que se debe permitir la ejecución de la función DDE, el director ejecutivo de AdvIntel Vitali Kremez le dijo a BleepingComputer que la gente está cayendo en el ataque de phishing en curso.

"Basándonos en nuestra visibilidad de la telemetría de BazarBackdoor, hemos observado 102 víctimas reales corporativas y gubernamentales que no pertenecen a la zona de pruebas durante los últimos dos días de esta campaña de phishing", explicó Kremez en una discusión en línea.

Una vez instalado BazarBackdoor, permitirá que los actores de amenazas accedan a la red corporativa, que los ataques utilizarán para propagarse lateralmente por toda la red.

En última instancia, esto podría provocar más infecciones de malware, el robo de datos y la implementación de ransomware.

Descubre más contenido

Subir Change privacy settings