Los criminales siguen utilizando las macros de Excel 4.0 maliciosas en las campañas de ransomware. Esta semana, el equipo de inteligencia de seguridad de Microsoft señaló que Avaddon era el último malware que utilizaba las macros como vector de infección.

Avaddon es un tipo de ransomware que surgió a principios de junio, y es la última campaña de malware que ha utilizado macros de Excel 4.0 para propagarse. «La técnica ha sido adoptada por numerosas campañas, incluidas las que utilizaron señuelos temáticos de COVID-19».

«La campaña de esta semana continúa la reciente tendencia de entregar el ransomware directamente como adjunto en las campañas de correo electrónico», dijo Microsoft.

Avaddon busca datos para cifrar y luego agrega su propia extensión a los archivos cifrados, dejando caer una nota de rescate en cada carpeta que afecta. Eso enlaza con un sitio de pago accesible a través de la red Tor que contiene una identificación única que la víctima puede utilizar para iniciar sesión. Entonces pueden ver la cantidad del rescate e instrucciones sobre cómo pagar.

This week, Avaddon ransomware became the latest malware to use malicious Excel 4.0 macros in campaigns. Emails carrying the malicious Excel attachments were sent to specific targets, primarily in Italy. When run, the malicious macro downloads the Avaddon ransomware. pic.twitter.com/K8TN9X9xQR (https://t.co/K8TN9X9xQR)
— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2020 (https://twitter.com/MsftSecIntel/status/1278817988867575808?ref_src=twsrc%5Etfw)

La campaña original aparecida en junio usaba correos electrónicos para distribuir un descargador que parecía una imagen. Sin embargo, los delincuentes cambian sus técnicas con bastante frecuencia para aumentar las probabilidades de éxito. Los organizadores de Avaddon supuestamente publicaron en foros de habla rusa a principios de este año que estaban operando un programa de afiliación para el rescate. Esto pagaría a los afiliados una parte del rescate de cualquiera de sus víctimas. Uno de esos afiliados bien podría ser el responsable de este enfoque basado en macros.

Las macros son un viejo método de distribución de malware que cayó en desuso después de que Microsoft introdujera más protecciones para detenerlas. Las macros están desactivadas por defecto en las versiones más recientes de Microsoft Office, lo que significa que los delincuentes tendrían que persuadir a las víctimas para activarlas. Los administradores de TI de la empresa pueden incluso configurar los documentos para no dar a los usuarios esa opción. Sin embargo, no todos lo hacen, y las computadoras de muchas víctimas no son ni siquiera gestionadas por un administrador. Así que este antiguo método de entrega sigue siendo un fructífero vector para los atacantes.

Más información:
Tweet de Microsoft:
https://twitter.com/MsftSecIntel/status/1278817988867575808

Infosecurity magazine
https://www.infosecurity-magazine.com/news/avaddon-ransomware-still-using/

Por Jesús Álvarez