El malware LimeRAT se está propagando a través de la técnica de cifrado Excel de VelvetSweatshop


Una nueva campaña está difundiendo el troyano de acceso remoto LimeRAT al aprovechar una antigua técnica de cifrado en archivos Excel.

LimeRAT es un troyano uncomplicated diseñado para máquinas con Windows. El malware es capaz de instalar puertas traseras en máquinas infectadas y encriptar archivos de la misma manera que las cepas típicas de ransomware, agregar Pc a las botnets e instalar mineros de criptomonedas.

Ver también: Este troyano secuestra su teléfono inteligente para enviar mensajes de texto ofensivos

Además, el troyano modular puede propagarse a través de unidades USB conectadas, desinstalarse si se detecta una máquina virtual (VM), una práctica típica para los investigadores de seguridad que intentan realizar ingeniería inversa de malware: bloquear pantallas y robar una variedad de datos que luego se envía a un servidor de comando y regulate (C2) a través del cifrado AES.

En una nueva campaña observada por Mimecast, el troyano se oculta como una carga útil en documentos Excel de solo lectura distribuidos a través de correos electrónicos de phishing. Los investigadores dijeron en una entrada de website el martes que los documentos de Excel son de solo lectura, en lugar de bloqueados, lo que cifra el archivo sin que el usuario escriba una contraseña.

Para descifrar el archivo, al abrirlo, Excel intentará utilizar una contraseña predeterminada incrustada «VelvetSweatshop, «que fue implementado hace años por los programadores de Microsoft. Si tiene éxito, esto descifra el archivo y permite el lanzamiento de macros integradas y la carga maliciosa, al tiempo que mantiene el documento de solo lectura.

CNET: ¿Usa Zoom mientras trabaja desde casa? Aquí están los riesgos de privacidad a tener en cuenta

Por lo typical, si el descifrado a través de VelvetSweatshop falla, los usuarios deben enviar una contraseña. Sin embargo, el modo de solo lectura omite este paso, lo que lessen los pasos necesarios para comprometer una máquina Windows.

«La ventaja del modo de solo lectura para Excel para el atacante es que no requiere la intervención del usuario, y el sistema Microsoft Business no generará ningún diálogo de advertencia que no sea notar que el archivo es de solo lectura», dicen los investigadores.

TechRepublic: El FBI advierte sobre el bombardeo de Zoom cuando los secuestradores se hacen cargo de las videoconferencias de la escuela y los negocios

La nueva campaña diseñada para difundir LimeRAT hace uso de esta técnica, que fue descubierta por primera vez. en 2013 y presentado en una conferencia de Virus Bulletin. Para llevar a cabo un ataque exitoso, la contraseña codificada, asignada como CVE-2012-0158 – Es explotado.

Vale la pena señalar que este problema se abordó hace mucho tiempo sin embargo, Notas de Sophos (.PDF) que la vulnerabilidad se ha seguido explotando a lo largo de los años en un caso considerado «notable».

Mimecast dice que los ciberatacantes también usan una «combinación de otras técnicas en un intento de engañar a los sistemas antimalware cifrando el contenido de la hoja de cálculo y, por lo tanto, ocultando el exploit y la carga útil».

Microsoft ha sido informado de que la vulnerabilidad está nuevamente en uso.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary