El malware Escanor RAT se despliega a través de documentos de Microsoft Office y PDF

Una nueva herramienta de administración remota (RAT) que utiliza documentos de Microsoft Office y Adobe PDF para distribuir código malicioso ha sido descubierta en foros de la web oscura y canales de Telegram.

El malware fue descubierto por los investigadores de seguridad de Resecurity durante el fin de semana y apodado Escanor en un aviso publicado el domingo 21 de agosto de 2022.

"Los actores de la amenaza ofrecen versiones de RAT basadas en Android y en PC, junto con un módulo de computación de red virtual oculta (HVNC) y un constructor de exploits para convertir en armas los documentos de Microsoft Office y Adobe PDF para entregar código malicioso", se lee en el documento.

Según el equipo de Resecurity, la RAT se puso a la venta por primera vez el 26 de enero de 2022. Diseñado inicialmente como un implante HVNC, el malware simplemente permitía a los atacantes establecer una conexión remota silenciosa con el ordenador de la víctima. Posteriormente, la herramienta evolucionó hasta convertirse en una RAT comercial a gran escala con un rico conjunto de características. 

"Escanor ha construido una reputación creíble en la web oscura, y atrajo a más de 28.000 suscriptores en el canal de Telegram", escribió Resecurity.

"En el pasado, el actor con el mismo apodo lanzó versiones 'crackeadas' de otras herramientas de la web oscura, incluyendo Venom RAT, y Pandora HVNC que probablemente se utilizaron para enriquecer aún más la funcionalidad de Escanor".

En cuanto a la versión móvil de Escanor (apodada "Esca RAT"), el malware es utilizado activamente por los ciberdelincuentes para atacar a los clientes de banca online mediante la interceptación de códigos de contraseñas de un solo uso (OTP).

"La herramienta puede usarse para recoger las coordenadas GPS de la víctima, monitorizar las pulsaciones del teclado, activar cámaras ocultas y navegar por los archivos de los dispositivos móviles remotos para robar datos", dice el aviso.

Además, Resecurity advirtió que el nombre de dominio utilizado por Escanor había sido identificado previamente en relación con Arid Viper, un grupo activo en la región de Oriente Medio en 2015 y conocido por atacar principalmente activos militares israelíes.

En cuanto a Escanor, la mayoría de sus víctimas fueron identificadas en Estados Unidos, Canadá, Emiratos Árabes Unidos, Arabia Saudí, Kuwait, Bahréin, Egipto, Israel, México y Singapur, con algunas infecciones detectadas en el sudeste asiático.*

*Fuente: https://www.infosecurity-magazine.com/news/escanor-rat-malware-microsoft-pdf/

Nueva estrategia de ciberdelincuentes ante el bloqueo de macros de Microsoft Office 

Tras los anuncios de Microsoft  sobre el bloqueo de macros para los usuarios de Office, los ciberdelincuentes han decidido adoptar nuevas tácticas, técnicas y procedimientos en sus amenazas. El equipo de investigación de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, ha observado que entre octubre de 2021 y junio de 2022 ha disminuido un 66% el uso de archivos adjuntos habilitados por macros de parte de los atacantes.

Hasta este año, que se han aplicado los cambios en Microsoft, los ciberdelincuentes basaban sus amenazas en ingeniería social para convencer a la víctima de que el contenido adjunto era importante y que para poder verlo era necesario activar las macros VBA y XL4 en las aplicaciones de Office. Ahora han tenido que alejarse de esas prácticas para distribuir malware mediante archivos contenedores de tipo adjunto, como ISO y RAR, o de acceso directo de Windows (LNK). Cuando se abren, aparece contenido adicional (LNKs, DLLs o archivos ejecutables) que conduce a la instalación de la payload maliciosa. La investigación de Proofpoint revela que el número de campañas de amenazas que siguen este método ha aumentado casi un 175% en los últimos meses.

«Ya es un cambio significativo dentro del panorama de amenazas que se haya dejado de enviar directamente archivos adjuntos basados en macros por correo electrónico», apunta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. «Los ciberdelincuentes están adoptando nuevas tácticas para distribuir malware y continuarán incrementando el uso de archivos ISO, LNK y RAR en sus ataques».

Para Proofpoint, este ha sido uno de los mayores cambios en la metodología de amenazas por correo electrónico, el principal vector de ataque en la actualidad, que se ha dado recientemente en ciberdelincuencia. Con ello, los atacantes consiguen eludir las protecciones de bloqueo de macros por parte de Microsoft, así como facilitar la distribución de ejecutables que desencadenan en malware de seguimiento, reconocimiento y robo de datos, o ransomware.