Investigadores de Morphisec han detectado una campaña de phishing para distribuir el malware Trickbot en Windows 10.
Ésta, consiste en la distribución de documentos de Microsoft Office con macros que explotan la última versión de ActiveX de escritorio remoto para Windows 10, a fin de ejecutar la descarga de un backdoor llamado Ostap que TrickBot adoptó recientemente para distribuirse.
OSTAP es un malware utilizado principalmente para descargar diferentes tipos de malwares, ya sean troyanos, ransomwares o spywares. Los documentos de esta campaña en particular contienen una imagen que pretende mostrar contenido cifrado, que oculta un control ActiveX debajo de ella, que se utiliza para convencer a los usuarios de que habiliten ese contenido, lo que también permite que comience el ataque. El elemento de descarga "OSTAP" en sí mismo se ofusca al estar presente en letras blancas ocultas entre los demás contenidos del documento, por lo que no es visible para el ojo humano. Toda la técnica ha sido diseñada específicamente para atacar a los usuarios de máquinas con Windows 10 con las actualizaciones de funciones más recientes y Windows Server 2016 en adelante.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows Server |
2016 2019 |
Microsoft Windows |
10 |