Microsoft ha advertido a la comunidad tecnológica de la existencia de una nueva campaña de phishing Covid-19 que utiliza macros maliciosas de Excel para lograr el acceso remoto a los ordenadores, móviles y portátiles de las potenciales víctimas, a través de una herramienta de soporte legítima.
Microsoft Security Intelligence reveló la noticia en una serie de tweets, en los que afirma que la campaña se inició el 12 de mayo. Los correos electrónicos afirman que provienen del Centro Johns Hopkins, lo cual por lo visto es mentira, y aportan un "Informe de situacióhn de la Covid-19 de la OMS".
Los archivos de Excel se abren con una advertencia de seguridad y muestran un gráfico de supuestos casos de coronavirus en los Estados Unidos. Si se le permite ejecutarse, la macro maliciosa de Excel 4.0 descarga y ejecuta NetSupport Manager RAT (Remote Access Trojan).
"Desde hace varios meses hemos visto un aumento constante en el uso de macros maliciosas de Excel 4.0 en campañas de malware. En abril, estas campañas de Excel 4.0 se subieron al carro y comenzaron a usar señuelos temáticos Covid-19".
“Los cientos de archivos Excel únicos en esta campaña usan fórmulas difícilmente desenmarañables por los expertos en informática"
La campaña no se diferencia de otras que utilizan como pretexto las declaraciones de la Renta o las ofertas de regalos de bancos en España. El señuelo en esta ocasión es informar sobre el Covid-19, algo que preocupa a millones de personas de todo el mundo, con lo cual las probabilidades de éxito aumentan.
“Los cientos de archivos Excel únicos en esta campaña usan fórmulas difícilmente desenmarañables por los expertos en informática, pero todos se conectan a la misma URL para descargar la carga útil. NetSupport Manager es conocido por ser usado por los atacantes para obtener acceso remoto y ejecutar comandos en máquinas comprometidas", ha manifestado Microsoft sobre la última campaña de RAT (Remote Access Trojan).
“El NetSupport RAT utilizado en esta campaña elimina aún más componentes, incluidos varios archivos .dll, .ini y otros archivos .exe, un VBScript y un script PowerShell basado en PowerSploit. Se conecta a un servidor C2, lo que permite a los atacantes enviar más comandos".