Campaña Aggah infecta a sistemas Windows

25 Abril 2019
Alto

Investigadores de PaloAlto descubrieron una nueva campaña denominada Aggah, que utiliza un documento de Word para infectar con malware. Llega a través de un correo electrónico falso, supuestamente legítimo, de una gran institución financiera del Medio Oriente. Pero el ataque no sólo está afectando a esta última región, sino también a Estados Unidos, Europa y Asia.

Una vez que los usuarios hacen click en el Word -llamado Activity.doc-, éste intenta cargar un documento OLE remoto mediante Template Inyection. El documento engaña a la víctima, para que ésta habilite los macro y las obliga a abrir el mismo sólo en las versiones de escritorio de Word.

Luego, el archivo OLE carga otro documento Excel ofuscado, con una macro también ofuscada, para decodificar y ejecutar la URL hxxp://www.bitly.com/SmexEaldos3, a través del comando Shell.

Una vez que se ejecuta el comando, las víctimas se redirigen a un blog alojado en blogspot.com, que tiene un JavaScript incrustado, que realiza intentos por finalizar el proceso de Microsoft Defender, al eliminar sus firmas, entre otras acciones.

De acuerdo a Palo Alto, el script, desde una URL de Pastebin, descarga un payload; crea una tarea programada para obtener y ejecutar periódicamente un script y crea una clave de registro de ejecución automática para obtener y ejecutar un script.

FInalmente, se descubre que el payload, escrito en lenguaje .NET y llamado Nuclear Explotion, es una variante del servidor RevengeRAT, que crea  un ejecutable con el nombre predeterminado "Client.exe", usado para infectar el Sistema Windows del usuario.

Se recomienda lo siguiente:

- Deshabilitar las macros de Microsoft Office, para evitar la ejecución de payloads maliciosos en los documentos (aunque esta configuración no mitiga el uso de la la autenticación forzada.

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.

- Mantener actualizado Microsoft Office y el software de seguridad del equipo.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Usar un antivirus con escáner de acceso (protección en tiempo real).

- Configurar de manera más estricta el anti spam.

- No abrir documentos adjuntos de remitentes desconocidos.

- Aprender a identificar correos fraudulentos.


Tags: #aggah #revengerat #windows #word #excel #shell #script #javascript #microsoftdefender #pastebin


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.