Aunque Microsoft ya ha anunciado que está trabajando en un parche para la vulnerabilidad que usa Word para ejecutar código malicioso, los ciberdelincuentes tampoco cesan en su actividad. Los investigadores han descubierto que el malware Qbot utiliza esta vulnerabilidad para realizar ataques de phishing.
Follina, la vulnerabilidad de Día Cero que ejecuta código malicioso de forma remota en Microsoft Office aprovechando MSDT, está siendo aprovechada por los ciberdelincuentes para nuevos ataques.
Según apuntan desde Proofpoint, esta vulnerabilidad se está explotando en ataques de phishing para infectar a los destinatarios con el malware Qbot. Se trata de una amenaza que ya está afectando a organismos gubernamentales de la Unión Europea y de Estados Unidos.
En concreto, la filial del grupo de ciberdelincuentes de origen chino TA570 Qbot ha empezado a utilizar documentos de Word maliciosos para explotar Follina e infectar a los destinatarios con este malware.
Para ello, los atacantes utilizan mensajes de hilos de correo electrónico secuestrados con archivos adjuntos HTML que descargan archivos ZIP con imágenes. Dentro de la imagen, los objetivos encontrarán archivos DLL, Word y de acceso directo.
Mientras que el archivo de acceso directo carga directamente el archivo DLL de Qbot que ya está presente en la imagen, el documento de Word llegará a un servidor externo para cargar un archivo HTML que explota Follina para ejecutar el código de PowerShell que descarga y ejecuta un archivo diferente.
Follina, un nuevo método de ataque
Las tácticas utilizadas en esta campaña de phishing coinciden con informes anteriores que describen cómo este grupo de ciberdelincuentes ha utilizado previamente el secuestro de hilos de correo electrónico para enviar archivos adjuntos maliciosos.
La decisión de este grupo de usar dos métodos diferentes para infectar a las posibles víctimas lleva a pensar que probablemente esté ejecutando una campaña de pruebas para evaluar qué táctica les daría los mejores resultados.
Esta es una de las pocas veces que el grupo Qbot ha intentado cambiar sus métodos de ataque este año, primero recurriendo a un truco más antiguo conocido como Squablydoo, para propagar el malware a través de documentos de Microsoft Office usando regsvr32.exe.
En abril, después de que Microsoft comenzara a implementar una función de bloqueo automático de macros de VBA para los usuarios de Office para Windows, los atacantes dejaron de usar documentos de Microsoft Office con macros maliciosas y cambiaron a archivos adjuntos ZIP protegidos con contraseña con paquetes maliciosos de MSI Windows Installer.
¿Qué es Qbot?
Qbot es un troyano bancario de Windows con capacidades para infectar dispositivos en redes comprometidas a través de exploits compartidos de red y ataques de fuerza bruta altamente agresivos contra cuentas de administrador de Active Directory.
Este malware se ha utilizado desde al menos 2007 para recolectar credenciales bancarias, información personal y datos financieros, así como para puertas traseras en ordenadores comprometidos.
En diciembre del pasado año, Microsoft publicó un informe en el apuntaba que Qbot puede robar datos confidenciales del usuario, incluidas las credenciales de Windows y los correos electrónicos, en aproximadamente 30 minutos después de la infección inicial.
