La empresa de seguridad Malwarebytes ha informado que ha detectado una campaña con señuelos relacionados con negocios, como entrevistas de trabajo, resúmenes de proyectos y documentos financieros, para distribuir malware, incluido el troyano de acceso remoto (RAT) PureHVNC.
No es el malware lo que es nuevo, sino cómo comienza el ataque.
En lugar del habitual correo de phishing o página de descarga falsa, los atacantes están utilizando Formularios de Google para iniciar la cadena de infección. El ataque normalmente comienza cuando una víctima descarga un archivo ZIP con temática empresarial vinculado desde un Formulario de Google. En su interior hay un archivo malicioso que desencadena un proceso de infección en varias etapas, que finalmente instala malware en el sistema.
PureHVNC es un RAT modular en .NET de la familia de malware “Pure”. En términos sencillos, permite a los atacantes el control remoto de un dispositivo infectado y les deja robar información sensible. Una vez instalado, puede:
- Tomar el control del sistema y ejecutar comandos de forma remota.
- Recopilar información sobre el dispositivo, incluido el sistema operativo, hardware, software de seguridad e información sobre el usuario y los dispositivos conectados.
- Robar datos de navegadores, extensiones y monederos de criptomonedas.
- Extraer datos de aplicaciones como Telegram y Foxmail.
- Instalar complementos adicionales.
- Lograr persistencia de varias maneras (por ejemplo, mediante tareas programadas).
Los formularios suelen solicitar información profesional, enlazando con archivos ZIP alojados en:
- Servicios para compartir archivos como Dropbox, filedn.com y fshare.vn
- Acortadores de URL como tr.ee y goo.su
- Enlaces de redirección de Google que ocultan el destino final
Los archivos ZIP utilizan diversos nombres y están ligados a diferentes temas relacionados con el negocio (marketing, entrevistas, proyectos, ofertas de trabajo, presupuestos, asociaciones, beneficios) para evitar sospechas.
Los señuelos usan los nombres de empresas bien conocidas, particularmente en los sectores financiero, logístico, tecnológico, de sostenibilidad y energético, para dar credibilidad a la campaña.
Los archivos ZIP suelen contener archivos legítimos (como PDFs de descripciones de puestos) y un archivo ejecutable junto con una DLL, normalmente llamada msimg32.dll. La DLL se ejecuta mediante secuestro de DLL (engañar a un programa legítimo para que cargue código malicioso).
Cómo mantenerse a salvo
- Siempre verifica el origen de los Google Forms, no ingreses información sensible y no descargues archivos a menos que confíes plenamente en la fuente.
- Verifica las solicitudes a través de los canales oficiales de la empresa antes de interactuar.
- Desconfía de los enlaces ocultos detrás de acortadores de URL o redireccionamientos.