Backdoor basada en powershell roba datos a través de MS Office

04 Diciembre 2018
Crítico

Investigadores descubrieron en Turquía un nuevo Backdoor basado en powershell, que a través de Microsoft Office,  roba información confidencial a las víctimas a través de un servidor CC.

El grupo de ciberdelincuentes detrás de los ataques es MuddyWater, activo desde 2017 y conocido por atacar a través de correos electrónicos de phishing, que contienen archivos adjuntos maliciosos. Han atacado principalmente en Oriente Medio y Asia Central.

Envían documentos llamados Raport.doc, Gizli Raport.doc o laliyeraporti (Gizli Bilgisi) .com (significa en turco 'informe', ‘informe secreto’ y ‘finanzas informe secreto’,respectivamente). Y con el nuevo backdoor llamado POWERSTATS, extraen datos, utilizando la API de un proveedor de hosting de archivos en la nube.

El documento notifica a los usuarios que habiliten las macros para mostrar el mismo correctamente. Si las víctimas lo hacen, el proceso malicioso se activa.

Se recomienda aplicar buenas prácticas de seguridad, como ser más cuidadoso con los correos electrónicos sospechosos y actualizar siempre los sistemas, aplicaciones y redes.

https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/


Tags: #microsoft #office #backdoor #powershell #muddywatter #phishing


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.