Malware Nim en señuelos de Word para ataques cibernéticos

Una nueva campaña de phishing está utilizando documentos señuelo de Microsoft Word como cebo para ofrecer una puerta trasera escrita en el lenguaje de programación Nim.

El malware basado en Nim ha sido poco común en el panorama de amenazas, aunque eso ha ido cambiando lentamente en los últimos años a medida que los atacantes continúan desarrollando herramientas personalizadas desde cero utilizando el lenguaje o trasladando a él versiones existentes de sus programas maliciosos.

La cadena de ataque documentada comienza con un correo electrónico de phishing que contiene un documento adjunto de Word que, al abrirlo, insta al destinatario a habilitar macros para activar la implementación del malware Nim. El remitente del correo electrónico se hace pasar por un funcionario del gobierno nepalí.

Podrá interesarte:  Protegiendo tu Empresa de los Ataques de Phishing por Emails

Una vez iniciado, el implante es responsable de enumerar los procesos en ejecución para determinar la existencia de herramientas de análisis conocidas en el host infectado y finaliza rápidamente si encuentra alguna.

De lo contrario, la puerta trasera establece conexiones con un servidor remoto que imita un dominio gubernamental de Nepal, incluido el Centro Nacional de Tecnología de la Información (NITC), y espera más instrucciones. 

"Nim es un lenguaje de programación compilado de tipo estático", según los investigadores. "Aparte de su sintaxis familiar, sus funciones de compilación cruzada permiten a los atacantes escribir variantes de malware y compilarlas de forma cruzada para apuntar a diferentes plataformas".

La divulgación se produce cuando se reveló una campaña de ingeniería social que aprovecha las redes sociales para entregar un nuevo malware ladrón basado en Python llamado Editbot Stealer, diseñado para recolectar y exfiltrar datos valiosos a través de un canal de Telegram controlado por un actor.

Incluso cuando los actores de amenazas están experimentando con nuevas cepas de malware, también se han observado campañas de phishing que distribuyen malware conocido como DarkGate y NetSupport RAT por correo electrónico y sitios web comprometidos con señuelos de actualizaciones falsas, particularmente aquellos de un grupo denominado BattleRoyal.

La empresa de seguridad empresarial Proofpoint identificó al menos 20 campañas que utilizaron el malware DarkGate entre septiembre y noviembre de 2023, antes de cambiar a NetSupport RAT a principios de este mes.

Una secuencia de ataque identificada a principios de octubre de 2023 se destaca particularmente por encadenar dos sistemas de entrega de tráfico (TDS), 404 TDS y Keitaro TDS, para filtrar y redirigir a las víctimas que cumplan con sus criterios a un dominio operado por un actor que aloja una carga útil que explota CVE-2023.36025 (puntuación CVSS: 8,8), una omisión de seguridad de alta gravedad de Windows SmartScreen que Microsoft solucionó en noviembre de 2023.

Esto implica que BattleRoyal utilizó esta vulnerabilidad como arma como un día cero un mes antes de que fuera revelada públicamente por el gigante tecnológico.

Te podrá interesar: Phishing Intelligence: Escudo Defensivo contra Ciberataques

¿Cómo detectar los documentos de Word falsos que ocultan malware?

Los documentos de Word falsos que ocultan malware pueden ser difíciles de detectar, ya que pueden tener un aspecto muy similar a los documentos reales. Sin embargo, hay algunas señales que pueden ayudarte a identificarlos:

1. El remitente del correo electrónico es desconocido, sospechoso o no coincide con el contenido del documento.
   
   
2. El asunto del correo electrónico es genérico, urgente o contiene errores ortográficos o gramaticales.
   
   
3. El documento tiene un nombre extraño, una extensión rara o un tamaño muy grande o muy pequeño.
   
   
4. El documento te pide que habilites las macros, que son pequeños programas que pueden automatizar tareas, pero también pueden contener malware.
   
   
5. El documento te pide que hagas clic en un enlace, que descargues un archivo adjunto o que introduzcas tus datos personales o financieros.
   
   
6. El documento tiene un aspecto extraño, contiene texto sin sentido, imágenes distorsionadas o información irrelevante.

Podría interesarte:  Concientización: Esencial en la Ciberseguridad de tu Empresa

¿Cómo protegerse de los documentos de Word falsos que ocultan malware?

La mejor forma de protegerse de los documentos de Word falsos que ocultan malware es evitar abrirlos o descargarlos. Para ello, puedes seguir estos consejos:

• No abras ni descargues documentos de Word que provengan de fuentes desconocidas, sospechosas o no solicitadas.
• Comprueba el remitente, el asunto y el contenido del correo electrónico antes de abrir o descargar cualquier documento de Word.
• No habilites las macros ni hagas clic en ningún enlace o archivo adjunto que contenga el documento de Word, a menos que estés seguro de su origen y propósito.
• Mantén actualizados los programas que usas para abrir documentos de Word, como Microsoft Word, y tu sistema operativo, como Windows, para corregir las posibles vulnerabilidades.
• Usa un antivirus y un firewall para proteger tu ordenador de posibles ataques y escanea regularmente los documentos de Word que recibas o descargues.

En resumen, se ha detectado una nueva campaña de phishing que utiliza documentos de Microsoft Word como señuelo para distribuir malware escrito en el lenguaje de programación Nim. Este tipo de malware basado en Nim es poco común pero está en aumento, lo que presenta un desafío para los investigadores de seguridad.

Los documentos de Word falsos que ocultan malware son una amenaza real y peligrosa para tu seguridad informática. Por eso, es importante que estés atento y que sigas las medidas de prevención que te hemos explicado. Así, podrás disfrutar de los beneficios de los documentos de Word sin poner en riesgo tu ordenador ni tus datos.