Investigadores de seguridad han descubierto dos nuevas campañas de malware, una de las cuales distribuye el troyano Ursnif, mientras que la otra además de propagar el mismo malware, infecta al objetivo con el ransomware GandCrab.
Aunque ambas campañas parecen ser trabajo de grupos de ciberdelincuentes separados, hay muchas similitudes en su ‘modus operandi‘.
Similitudes del ataque:
Ambos ataques comienzan con correos eletrónicos en la que suplantan la identidad de un conocido para adjuntar un documento de Microsoft Word. Este documento contiene macros de VBS maliciosas que hacen uso de Powershell para ejecutar su carga útil e infectar al objetivo.
Infección de Ursnif & GandCrab:
Como hemos explicado, el documento de MS Word contiene una macro maliciosa en VBS. Si esta se ejecuta con éxito, hace uso de Powershell para descargar y ejecutar tanto Ursnif como GandCrab en los sistemas infectados. En la siguiente imagen se puede ver de manera más clara:
LEER MAS: https://unaaldia.hispasec.com/2019/01/aparecen-dos-nuevas-campanas-de-malware-que-se-progragan-a-traves-de-macros-de-ms-word.html