Los atacantes cibernéticos están enviando correos electrónicos con archivos adjuntos .ppam que pueden ocultar malware capaz de reescribir la configuración del registro de Windows en los dispositivos infectados.
Como funciona
Los atacantes usan un archivo de PowerPoint para ocultar ejecutables maliciosos que reescriben la configuración del registro de Windows para secuestrar computadoras personales.
Este ataque representa una de las varias formas que los piratas informáticos han utilizado para atacar a los usuarios de escritorio a través de aplicaciones confiables. Los correos electrónicos enviados evaden las detecciones de seguridad y parecen legítimos.
resultados de la investigación
Una investigación reciente de Avanan, una empresa de Check Point, destaca cómo un "complemento poco conocido" de PowerPoint, el archivo .ppam, puede usarse para ocultar malware. Jeremy Fuchs, investigador y analista de Avanan, señaló en un informe publicado que el archivo incluye comandos de macro personalizados, entre otras funciones.
A partir de enero, los investigadores informaron que los atacantes enviaron correos electrónicos manipulados que incluían archivos adjuntos .ppam maliciosos.
El correo electrónico como vector de ataque
Un correo electrónico utilizado en los ataques simula una orden de compra enviada al destinatario. El archivo .ppam correspondiente está diseñado para parecer legítimo pero incluye un ejecutable malicioso.
Payload procedió con una serie de funciones en la máquina de destino que el usuario no permitió expresamente, incluida la instalación de nuevos programas que crean y abren nuevos procesos, cambian los atributos de los archivos y llaman a funciones importadas. El informe destaca:
Al combinar la urgencia potencial de un correo electrónico de orden de compra junto con un archivo peligroso, este ataque ofrece un doble golpe que puede devastar a un usuario final y a una empresa.
La campaña permite a los piratas eludir la seguridad existente de un dispositivo. Hace esto con un archivo que rara vez se usa y, por lo tanto, no activa las alertas del escáner de correo electrónico. Fuchs escribe:
Además, muestra los peligros potenciales de este archivo, ya que puede usarse para encapsular cualquier tipo de archivo malicioso, incluido el ransomware.
De hecho, los informes de octubre de 2021 muestran que los atacantes usaron archivos .ppam para encapsular ransomware.
Usuários de desktop como objetiva
Esta estafa representa uno de varios ataques basados en correo electrónico descubiertos recientemente por investigadores. Muchas campañas están dirigidas a usuarios de escritorio que operan en aplicaciones de colaboración y procesamiento de textos como Microsoft Office, Google Docs y Adobe Creative Cloud. Los atacantes a menudo usan el correo electrónico para enviar archivos adjuntos maliciosos o enlaces que roban datos de los usuarios.
En noviembre, los investigadores informaron que los estafadores estaban usando enlaces maliciosos para que las personas compartieran un documento de Google. Los enlaces dirigían a los usuarios a sitios de robo de credenciales.
En diciembre, una ola de ataques de phishing dirigidos principalmente a los usuarios de Outlook aprovecharon la función de "comentarios" en Google Docs para distribuir enlaces maliciosos que robaron las credenciales de los usuarios.
El mes pasado, Avanan denunció otra estafa sobre cuentas falsas en la suite Adobe Cloud. Los atacantes utilizaron herramientas de Adobe para enviar imágenes y archivos PDF que parecían legítimos pero que en realidad enviaban malware a los usuarios de Office 365 y Gmail.
Mitigaciones y Prevención
Para evitar que las estafas por correo electrónico lleguen a los empleados anteriores, Jeremy Fuchs recomienda que los administradores tomen las precauciones tradicionales de seguridad del correo electrónico. Los administradores deben instalar una protección de correo electrónico que descargue archivos en un espacio aislado para inspeccionarlos en busca de componentes maliciosos. También es aconsejable tomar medidas de seguridad adicionales, como escanear dinámicamente los correos electrónicos en busca de indicadores de compromiso (IoC). Esto garantiza la seguridad del filtrado de correos electrónicos en las redes corporativas.
“Este correo electrónico falló en una verificación de SPF y hubo una reputación histórica insignificante con el remitente”, escribió Fuchs sobre el mensaje de phishing que observaron los investigadores de Avanan. SPF, marco de política del remitente, representa una táctica de autenticación de correo electrónico diseñada para evitar que los piratas informáticos envíen mensajes falsificados a través de un nombre de dominio alternativo.
Los grupos corporativos también pueden animar continuamente a los empleados a ponerse en contacto con el departamento de TI si reciben archivos desconocidos por correo electrónico.
Fuente: CyberTalk
¡Cuenta con International IT y Check Point para proteger a tu empresa de los ciberataques!
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
