Los hackers siempre encuentran formas ingeniosas de evadir la seguridad, y FinalDraft es la última prueba de ello. Este nuevo malware usa borradores de correo electrónico en Outlook como canal de comunicación con los atacantes, permitiéndoles robar datos, moverse dentro de la red infectada y ejecutar comandos sin levantar sospechas.
El ataque, ha sido utilizado contra un ministerio en Sudamérica y forma parte de una operación más grande que incluye herramientas avanzadas como PathLoader, un cargador de malware personalizado, y diversas utilidades para exfiltrar información, inyectar procesos y moverse lateralmente en los sistemas comprometidos.
¿Por qué es tan preocupante? Porque FinalDraft no depende de servidores externos ni genera tráfico sospechoso, lo que lo hace prácticamente invisible para muchas soluciones de seguridad. Si Outlook ya es parte del entorno de trabajo, ¿quién sospecharía de un simple borrador de correo electrónico?
¿Qué es y cómo ataca FinalDraft?
Todo empieza cuando los hackers logran colarse en el sistema de la víctima usando PathLoader, un pequeño ejecutable diseñado para cargar código malicioso. Este programa no es cualquier cargador de malware: usa técnicas avanzadas, como hashing de API y cifrado de cadenas, para evitar que los antivirus lo detecten fácilmente.
Una vez dentro, PathLoader ejecuta FinalDraft, el verdadero protagonista del ataque. Este malware se encarga de robar datos, inyectar procesos y comunicarse con los atacantes sin levantar sospechas.
Pero aquí viene lo interesante: en lugar de conectarse a servidores sospechosos, FinalDraft usa Microsoft Graph API y borradores de correos en Outlook para enviar y recibir comandos. ¿Cómo lo hace? Obtiene un token de OAuth de Microsoft a partir de un token de actualización que trae preconfigurado y lo guarda en el Registro de Windows para asegurarse de que el acceso no se pierda, incluso si el sistema se reinicia.
Este método le permite a los atacantes moverse sin ser detectados, manteniendo el control del sistema por mucho más tiempo.
Token almacenado en el Registro de Windows (Fuente: Elastic Security)
¿Cómo se comunica FinalDraft sin ser detectado?
En lugar de enviar correos electrónicos (lo que podría generar sospechas), FinalDraft usa borradores en Outlook para ocultar sus comandos y respuestas. Esto le permite camuflarse entre el tráfico normal de Microsoft 365, haciendo que su detección sea muchísimo más difícil.
Así es como funciona:
- El atacante envía comandos en un borrador con un nombre en el formato r_<session-id>.
- FinalDraft ejecuta las órdenes en el sistema infectado.
- Las respuestas se guardan en otro borrador llamado p_<session-id>.
- Los borradores se eliminan una vez usados, dejando poco rastro para cualquier análisis forense.
Este método no solo lo hace sigiloso, sino que también le permite a los atacantes mantener el control del sistema sin que haya tráfico inusual que pueda levantar sospechas.
¿Qué puede hacer FinalDraft?
Este malware no es solo un simple ladrón de información. Tiene 37 comandos diferentes, y algunos de los más peligrosos incluyen:
- Robo de datos: puede extraer archivos, credenciales y detalles del sistema.
- Inyección de procesos: ejecuta código malicioso en programas legítimos, como mspaint.exe, para evitar detección.
- Ataques Pass-the-Hash: roba credenciales para moverse dentro de la red sin necesidad de contraseñas.
- Proxy de red: crea túneles encubiertos para comunicarse sin ser bloqueado.
- Manipulación de archivos: puede copiar, eliminar o sobrescribir documentos.
- Ejecución de PowerShell: ejecuta comandos sin necesidad de abrir powershell.exe, lo que lo hace aún más sigiloso.
¿También infecta Linux?
Sí, y lo preocupante es que la versión de Linux de FinalDraft es igual de avanzada. Aunque en este caso no pueda usar directamente Outlook, sigue comunicándose de manera encubierta a través de Microsoft Graph API, REST API, HTTP/HTTPS, UDP, ICMP inverso, TCP y DNS para el intercambio de datos con los atacantes.
En pocas palabras, FinalDraft es un malware altamente sofisticado y adaptable que puede operar en diferentes entornos sin ser detectado fácilmente.
Descripción general operativa de FinalDraft (Fuente: Elastic Security)
Podría interesarte leer: Análisis de Malware con Wazuh
La campaña detrás de FinalDraft: REF7707
Los investigadores han identificado esta operación de ciberespionaje como REF7707, una campaña dirigida a un Ministerio de Relaciones Exteriores en Sudamérica. Sin embargo, al analizar la infraestructura utilizada en el ataque, encontraron conexiones con otras víctimas en el sudeste asiático, lo que sugiere que la operación es mucho más grande de lo que parece.
Curiosamente, a pesar de lo sofisticado del ataque, los hackers cometieron varios errores de seguridad operativa (opsec) que terminaron delatando parte de su actividad. Gracias a estos descuidos, los expertos pudieron seguir el rastro de los atacantes y descubrir más detalles sobre su modus operandi.
Nuevas herramientas maliciosas en juego
Además de FinalDraft y PathLoader, los investigadores encontraron otro cargador de malware hasta ahora desconocido, llamado GuidLoader. Este programa se encarga de descifrar y ejecutar cargas maliciosas directamente en la memoria, lo que dificulta aún más su detección.
Pero eso no es todo. El análisis mostró que los atacantes han estado comprometiendo repetidamente instituciones de alto perfil en el sudeste asiático. En varios casos, usaron proveedores de telecomunicaciones e infraestructura de Internet como puntos de entrada, lo que sugiere un acceso profundo y bien planeado.
Para alojar sus cargas maliciosas, los hackers incluso aprovecharon un sistema de almacenamiento público de una universidad del sudeste asiático, lo que podría indicar que esa institución ya había sido comprometida o que los atacantes lograron infiltrarse en su cadena de suministro.
Todo esto deja claro que REF7707 no es un ataque aislado. Es una campaña bien estructurada que usa tácticas avanzadas para robar información y moverse dentro de redes gubernamentales y corporativas sin ser detectada.
Cómo protegerse de FinalDraft y amenazas avanzadas
FinalDraft es una prueba más de cómo los ciberdelincuentes están utilizando técnicas cada vez más sofisticadas para evadir la detección y mantener el acceso a sistemas comprometidos. Su capacidad para usar Outlook como canal de comunicación encubierto lo hace especialmente difícil de detectar con soluciones de seguridad tradicionales, por lo que es fundamental contar con herramientas avanzadas que permitan identificar este tipo de amenazas. Para protegerse contra FinalDraft y otros malware similares, es recomendable implementar soluciones como:
- EDR (Endpoint Detection and Response): Monitorea en tiempo real los dispositivos para detectar comportamientos sospechosos y responder a incidentes antes de que causen daño.
- SIEM (Security Information and Event Management): Analiza registros y eventos de seguridad para identificar patrones de ataque y correlacionar actividades maliciosas en toda la red.
- Monitoreo del tráfico de red: Identificar comunicaciones inusuales, incluso si se realizan a través de servicios legítimos como Outlook.
- Concienciación en ciberseguridad: Capacitar a los trabajadores para reconocer intentos de phishing y otras técnicas de ingeniería social.
En TecnetOne, contamos con un SOC (Security Operations Center) como servicio, integrado con todas las herramientas avanzadas mencionadas anteriormente para una detección y respuesta efectiva y un equipo de expertos en ciberseguridad que monitorean, detectan y responden a amenazas en tiempo real. Con nuestro servicio, ayudamos a las empresas a identificar ataques avanzados como FinalDraft antes de que causen daños irreparables. Si quieres proteger tu organización contra este tipo de amenazas, contáctanos y descubre cómo nuestro SOC puede reforzar tu seguridad digital.
