Cuidado, ese documento de Excel podría estar infectado con malware peligroso.
Un archivo de Excel que contiene malware sin archivos está circulando ampliamente.
Recientemente se ha identificado una nueva campaña de phishing que implica la distribución de un archivo de Excel. Este archivo está diseñado para instalar una versión sin archivos del troyano de acceso remoto Remcos en los dispositivos de las víctimas. Remcos es capaz de robar información sensible, registrar pulsaciones de teclas y más.
Investigadores han detectado que los ciberdelincuentes envían correos electrónicos de phishing con el habitual tema relacionado con órdenes de compra. Dichos correos incluyen un archivo de Microsoft Excel que aprovecha una vulnerabilidad de ejecución remota de código en Office (CVE-2017-0199). Al abrir el archivo, se descarga un archivo de Aplicación HTML (HTA) desde un servidor remoto, el cual se ejecuta mediante mshta.exe. A continuación, este archivo descargará un segundo payload desde el mismo servidor, que ejecutará ciertas pruebas de anti-análisis y anti-depuración, para proceder a descargar y ejecutar el troyano Remcos.
Históricamente, Remcos no siempre ha sido calificado como un malware; originalmente fue desarrollado como un software comercial legítimo para tareas de administración remota. Sin embargo, al igual que otros programas como Cobalt Strike, ha sido capturado por criminales cibernéticos y se utiliza principalmente para acceso no autorizado, robo de datos y espionaje. Remcos tiene la capacidad de registrar pulsaciones de teclas, capturar capturas de pantalla y ejecutar comandos en sistemas infectados.
Lo que diferencia a esta versión de Remcos es que se despliega directamente en la memoria del dispositivo: "En lugar de guardar el archivo de Remcos en una ubicación local y ejecutarlo, se despliega directamente en la memoria del proceso actual", explicaron los expertos. "En otras palabras, es una variante sin archivos de Remcos".
El phishing a través de correos electrónicos sigue siendo uno de los métodos más comunes que los ciberdelincuentes utilizan para infectar dispositivos con malware y robar información sensible. Este enfoque es económico y efectivo, lo que lo convierte en un vector de ataque muy eficiente. Para defenderse contra el phishing, se recomienda aplicar el sentido común al leer correos electrónicos y ser especialmente cauteloso a la hora de descargar y ejecutar cualquier archivo adjunto.