- Group-IB vinculó al actor de amenazas iraní Madiwater con una campaña de phishing basada en macro
- Los atacantes utilizaron correos electrónicos falsos y documentos de Word para implementar Phoenix v4 y otro malware
- A pesar del macrobloqueo desde 2022, todavía se utilizan técnicas antiguas en la naturaleza
Estamos en octubre de 2025, pero algunos ciberdelincuentes todavía intentan distribuir malware a través de macros de Microsoft Word, advierten los expertos.
Recientemente, los investigadores de seguridad Group-IB descubrieron una nueva campaña de ciberespionaje que comenzó con cuentas de correo electrónico comprometidas, que los actores de amenazas utilizaban para distribuir correos electrónicos de phishing. Estos mensajes están dirigidos a organizaciones internacionales en diferentes regiones del mundo, haciéndose pasar por correspondencia genuina y aumentando la probabilidad de que las víctimas realmente abran los correos electrónicos.
Los mensajes también contenían archivos adjuntos maliciosos: documentos de Microsoft Word que, cuando se abrían, pedían a las víctimas que habilitaran macros. Si lo hacen, la macro ejecutará el código de Visual Basic incorporado que, a su vez, instalará la puerta trasera Phoenix v4.
Las macros están muertas, ¡larga vida a las macros!
Como es habitual en las puertas traseras, Phoenix v4 proporciona control remoto a los atacantes y viene con mecanismos de persistencia mejorados. Los atacantes también lanzaron varias herramientas de administración y monitoreo remoto (RMM) (PDQ, Action1 y ScreenConnect), así como un ladrón de información llamado Chromium_Stealer, que es capaz de capturar datos del navegador de Chrome, Edge, Opera y Brave.
A mediados de 2022, los documentos de Office habilitados para macros eran el método de ataque más popular entre los piratas informáticos de phishing en todo el mundo.
Sin embargo, a mediados de 2022, Word (Excel, PowerPoint, Access y Visio) comenzó a bloquear macros de forma predeterminada para archivos descargados o enviados por correo electrónico desde Internet (por ejemplo, “Marca de la Web”), lo que obligó a los actores de amenazas a cambiar a otros formatos.
Los archivos de Office habilitados para macros como señuelos de phishing prácticamente murieron ese día.
Group-IB ha atribuido la campaña a Madiwater, un actor de amenazas patrocinado por el estado iraní. Irónicamente, esta campaña demuestra una vez más que las agencias gubernamentales tienden a utilizar tecnologías y técnicas obsoletas, y parece que los piratas informáticos no son inmunes a esto.
Los investigadores dicen que el código que encontraron en el ataque anterior de MuddyWater se superpone con este. La infraestructura del dominio, así como las muestras de malware, apuntan a MuddyWater, así como los patrones de orientación.
a través de Revista Infoseguridad
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
El mejor antivirus para todos los bolsillos
