Usando el movimiento del mouse como inspiración, un equipo de hackers ha creado un malware que se activa al pasar por cierto hipervínculo de Powerpoint. No es necesario ni siquiera tocar el link para que el virus se descargue en la PC como un archivo JPEG (DSC0002.jpeg).

Los investigadores de la compañía Cluster25 de inteligencia contra amenazas presentaron un informe esta mañana sobre el asunto. Desde su punto de vista, los hackers involucrados podrían estar trabajando para Rusia, pues han vinculado el origen del malware con un grupo llamado «Fancy Bear» que pertenece a la GRU rusa. 

Por lo tanto, lo más probable es que este malware de espionaje apunte a entidades en los sectores de defensa de la Unión Europea y Europa del Este. 

Pero no deberíamos confiarnos solo por ser simples usuarios, pues el archivo de Powerpoint corrupto todavía está en internet. 

Cuidado con los Powerpoint de dos diapositivas

Imagen de la presentación de Powerpoint maliciosa / Créditos: Cluster25

De acuerdo con Cluster25, el malware está dentro de una presentación de Powerpoint con dos diapositivas. Ambas con instrucciones en inglés y en francés para forzar al usuario a mover el mouse hacia la opción de interpretación en pantalla. 

Cuando la víctima pasa accidentalmente sobre el hipervínculo oculto en la diapositiva ya no hay mucho que se pueda hacer. Este gesto activa la descarga del script malicioso de PowerShell desde una cuenta de Microsoft OneDrive. Luego, este virus se guarda automáticamente en el directorio “C:\ProgramData\” y comienza a registrar desde allí la IP del computador y otros archivos secundarios. 

Así que lo mejor que podemos hacer para evitar descargar este malware es tener cuidado con los hipervínculos en las presentaciones de Powerpoint descargables. 

Este PPT corrupto pertenece supuestamente a la Organización para la Cooperación y el Desarrollo Económico (OCDE), una empresa intergubernamental que trabaja para estimular el crecimiento económico. Sin embargo, es posible que haya más archivos de Powerpoint maliciosos ahora que la técnica ha sido probada con éxito.  

¿La primera vez que se crea un malware para Powerpoint?

Vía Pexels

Esta técnica en la que se usa una presentación como señuelo no es nueva. Desde 2017, Cluster25 ha documentado varios script maliciosos que buscan filtrar datos o espiar las conversaciones que se llevan a cabo en el dispositivo, ya sea computador, teléfono o tableta. 

De hecho, múltiples investigadores explicaron en su momento que los malware en los hipervínculos funcionan como una infección, ya que anidan dentro de un documento de Office (como Powerpoint) y se propagan una vez que el archivo se descarga.

“El propósito del malware es permitir que el atacante cargue otro malware en la memoria del sistema”.

Cluster25

Sin embargo, aunque el tipo de amenaza no es nueva del todo, sigue siendo peligrosa para los usuarios que descargan muchos archivos de internet.

Referencias:

Hackers use PowerPoint files for ‘mouseover’ malware delivery https://www.bleepingcomputer.com/news/security/hackers-use-powerpoint-files-for-mouseover-malware-delivery/ 

PowerPoint File Downloads Malware When You Hover a Link, No Macros Required https://www.bleepingcomputer.com/news/security/powerpoint-file-downloads-malware-when-you-hover-a-link-no-macros-required/ 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *