Nuevos ataques de malware apuntan a Microsoft Outlook, facilitando el secuestro furtivo.
Incluso los borradores de correos electrónicos pueden ser utilizados en ataques.
Investigadores de seguridad han identificado un nuevo tipo de malware denominado FinalDraft, que aprovecha los borradores de correos electrónicos en Outlook para ejecutar varias acciones maliciosas, incluyendo la exfiltración de datos y la ejecución de PowerShell. Este malware forma parte de un conjunto más amplio de herramientas utilizado en una campaña conocida como REF7707, que parece estar enfocada en organizaciones gubernamentales en América del Sur y en el sureste asiático.
El conjunto de herramientas involucradas incluye un cargador llamado PathLoader, el malware FinalDraft y diversas utilidades post-explotación. El ataque inicia cuando la víctima se ve expuesta al cargador, aunque los investigadores no especifican cómo ocurre esto. Se presume que se utilizan métodos comunes como el phishing, la ingeniería social o cracks de software comercial.
Una vez instalado, FinalDraft establece un canal de comunicación mediante la API de Microsoft Graph, utilizando los borradores de correos en Outlook. A través de este proceso, obtiene un token OAuth de Microsoft, aprovechando un token de renovación que está embebido en su configuración, y lo almacena en el Registro de Windows. Esto permite que los atacantes mantengan acceso persistente al sistema comprometido.
Las capacidades del malware son extensas. Permite a los atacantes exfiltrar datos sensibles, crear túneles de red encubiertos, alterar archivos locales y ejecutar comandos de PowerShell, entre otras funciones. Además, el malware elimina los comandos ejecutados, lo que dificulta aún más el análisis posterior.
Los investigadores detectaron este malware en una computadora perteneciente a un ministerio de relaciones exteriores en América del Sur. Sin embargo, tras examinar su infraestructura, se han encontrado conexiones con víctimas en el sureste asiático, lo que indica que la campaña afecta tanto a dispositivos Windows como a Linux.
No se ha relacionado el ataque con actores de amenazas conocidos, lo que deja abierta la posibilidad de que se trate de una operación patrocinada por algún estado, especialmente considerando que el objetivo parece ser el espionaje.