Los investigadores de ciberseguridad de Securonix observaron recientemente una nueva campaña de piratería en la que los atacantes abusan de servicios legítimos de almacenamiento en la nube para alojar cargas útiles maliciosas.
en un Informe de investigación publicado a principios de esta semana (a través de Las noticias de los piratas informáticos), Securonix dijo que la campaña comienza con un correo electrónico de phishing que contiene un archivo .ZIP. Cuando se descomprime, el archivo entrega un archivo ejecutable que se parece a un archivo de Excel. El archivo utiliza un carácter Unicode de anulación de izquierda a derecha (RLO) oculto, invirtiendo el orden de los caracteres siguientes.
Entonces, en lugar de ver el nombre del archivo como “RFQ-101432620247fl*U+202E*xslx.exe”, las víctimas verán “RFQ-101432620247flexe.xlsx” y, por lo tanto, se les puede engañar haciéndoles creer que están abriendo un archivo de hoja de cálculo.
Abusando de la nube
El archivo .ZIP viene con un par de scripts adicionales para que toda la campaña parezca más auténtica, pero el archivo .exe principal desencadenará una acción de implementación de varias etapas que concluye con dos scripts de PowerShell alojados en Dropbox y Google Conducir.
«El script de PowerShell de última etapa zz.ps1 tiene la funcionalidad de descargar archivos de Google Drive según criterios específicos y guardarlos en una ruta específica en el sistema local dentro del directorio ProgramData», dijeron los investigadores.
Esta no es la primera vez que se observa a piratas informáticos abusando de los servicios en la nube para alojar malware o ejecutar campañas maliciosas en general.
Por ejemplo, Google Docs, el procesador de textos basado en la nube de Google, tiene la capacidad de compartir archivos con otras personas por correo electrónico, utilizando la infraestructura de Google. Los piratas informáticos abusaban de este hecho para eludir las protecciones contra spam y conseguir que correos electrónicos maliciosos llegaran directamente a las bandejas de entrada de las personas. Otros servicios, como DocuSign, Sharepoint, GitHub y muchos otros.
De hecho, según el informe de Netskope publicado hace dos años, las aplicaciones en la nube fueron el principal distribuidor de malware en 2021.
Securonix denominó esta última campaña CLOUD#REVERSER. No sabemos a cuántas víctimas afecta.