La empresa tecnológica revela que archivo malicioso con extensión ‘xls.exe’ ejecuta un documento que pone en jaque principalmente a empresas financieras y de retail.
El malware tiene diversas formas de esparcirse y una de ellas puede representar una trampa fácil al no considerarse como una amenaza: documentos de Excel.
A través de su cuenta de Twitter, el equipo de seguridad en inteligencia de Microsoft dio a conocer la existencia de una campaña que emplea un método complejo de infección el cual implica la descarga y ejecución del archivo FlawedAmmyy RAT directamente en la memoria, esto dificulta que los antivirus detecten las amenazas ya que sólo escanean documentos en el disco.
“El ataque comienza con un email y un documento adjunto con la extensión ‘.xls’ mismo que se presenta en coreano”, de acuerdo a un tuit de la empresa. Al abrirse, de manera automática se ejecuta una función macro que corre el archivo msiexec.exe que a su vez baja un documento MSI el cual contiene un ejecutable que se extrae con firma digital, luego se descifra para permitir la ejecución de otro archivo en la memoria.
El malware descarga y decodifica otro ejecutable denominado ‘wsus.exe’, mismo que está diseñado para ser detectado como legítimo por parte del Microsoft Windows Service Update Services (WSUS). Al activarse comienza a operar FlawedAmmy, el cual se sabe ha sido utilizado para atacar particularmente a negocios enfocados a las finanzas y retail, de acuerdo a la firma de seguridad Proofpoint.
Microsoft ha invertido en su infraestructura de Windows Defender con la finalidad de mejorar su propio antivirus, mismo que ya está integrado en los ordenadores, en comparación con los programas que ofrecen otros proveedores.
Los sistemas de machine learning de Defender ATP “bloquearon todos los componentes de este ataque en primera instancia, incluida la carga útil de FlawedAmmyy RAT, mientras que los clientes empresariales de Office 365 ATP pueden estar seguros de que las herramientas de seguridad de Microsoft Office 365 detectan el spam”, informa el equipo de seguridad en inteligencia del gigante tecnológico en su cuenta de Twitter.
Te puede interesar también:
“Microsoft busca impulsar el campo mexicano”
“En palabras de… GDATA: un nuevo malware para Android cada siete segundos”
