I ricercatori di Check Point hanno scoperto un nuovo generatore di malware per Office denominato APOMacroSploit, utilizzato in una campagna che ha preso di mira oltre 80 clienti in tutto il mondo.

“APOMacroSploit è un generatore di macro che doveva creare documenti Excel armati utilizzati in più attacchi di phishing. L’attore della minaccia dietro lo strumento lo aggiornava continuamente per eludere il rilevamento. I documenti Excel creati con il builder APOMacroSploit sono in grado di aggirare il software antivirus, l’interfaccia di scansione antimalware di Windows (AMSI) e persino Gmail e altri rilevamenti di phishing basati su email.

L’infezione da malware inizia quando il contenuto dinamico del documento XLS allegato è abilitato e una macro XLM avvia automaticamente il download di uno script di comando del sistema Windows”.

Gli esperti sono stati in grado di smascherare uno degli attori della minaccia dietro il costruttore.

“I ricercatori Hanno notato che gli attaccanti hanno commesso un errore: il dominio cutt [.] Ly reindirizza direttamente a un server di download e non esegue la richiesta sul back-end. I server ospitano i file BAT, per ogni file è stato inserito il nickname del cliente all’interno del nome del file”.

Lo script BAT scarica il malware fola.exe per una delle seguenti versioni di Windows;

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows

Per evitare il rilevamento, gli script BAT aggiungono la posizione del malware nel percorso di esclusione di Windows Defender e disabilitano la pulizia di Windows prima di eseguire il malware.

In almeno un attacco, gli autori delle minacce hanno utilizzato un Delphi Crypter insieme a un malware di seconda fase, un Trojan di accesso remoto denominato BitRAT.

BitRAT implementa molteplici funzionalità, tra cui mining di criptovalute e funzionalità RAT. Uno shellcode iniettato da Notepad.exe rilascia un file VBS nella cartella di avvio per garantire la persistenza”, si legge nell’analisi pubblicata dai ricercatori.

 

https://securityaffairs.co/wordpress/114880/cyber-crime/apomacrosploit-macro-builder.html

Twitter
Visit Us
LinkedIn
Share
YOUTUBE
YOUTUBE