Investigadores de seguridad han alertado sobre la existencia de una nueva amenaza que se sirve de Microsoft Outlook para enviar y recibir información sin ser detectada.
El malware, que puede usarse para el espionaje y el robo de datos, está compuesto de dos partes denominadas PATHLOADER y FINALDRAFT, según informa Cybersecuritynews.
En primer lugar el malware infecta los equipos mediante PATHLOADER, un programa que se encarga de descargar y ejecutar código malicioso desde Internet. Para dificultar su análisis se sirve de técnicas de evasión como API hashing y cifrado de cadenas.
Posteriormente, entra en juego FINALDRAFT, el cual roba información y ejecuta comandos ocultos.
Refugiado en el email de Microsoft
La amenaza utiliza borradores de correos electrónicos en Outlook para comunicarse con los atacantes, evitando así ser detectado por los sistemas de seguridad tradicionales.
Para este fin, usa la API de Microsoft Graph, enviando datos sin levantar sospechas. Además, se apoyoa en sus tokens de autenticación, los cuales reutiliza mientras estos siguen activos.
El malware puede recopilar información del equipo infectado y permite a los actores de amenazas controlar el mismo de manera remota.