Según Cisco Talos, los actores de amenazas están implementando malware utilizando MacroPack, una herramienta designada para los ejercicios del equipo rojo.
Los investigadores encontraron varios documentos de Microsoft relacionados cargados en VirusTotal entre mayo y julio de 2024, todos los cuales fueron generados por una versión de un marco de generación de carga útil llamado MacroPack.
Estos documentos fueron cargados por varios actores y países, incluidos China, Pakistán, Rusia y Estados Unidos.
Los archivos maliciosos se utilizaron para entregar múltiples cargas útiles, incluidas nuevas variantes de los marcos de post-explotación Havoc y Brute Ratel y el troyano de acceso remoto (RAT) PhantomCore.
Lea ahora: GlobalProtect VPN de Palo Alto está falsificado para ofrecer una nueva variante de malware
MacroPack es una herramienta eficaz para la implementación de carga útil
MacroPack es una herramienta que puede generar rápidamente una variedad de cargas útiles en una variedad de tipos de archivos, incluidos los formatos compatibles con Office, lo que permite a los usuarios crear implantes funcionales con una única línea de comando.
MacroPack incluye funciones adicionales para hacer que las cargas útiles sean más resistentes y también está disponible en una versión compatible para profesionales con funciones más avanzadas, como derivación antimalware, cargas útiles más avanzadas, antirretroceso y cargas útiles adicionales.
Esta herramienta es para uso de los miembros del Red Team y no puede usarse con fines maliciosos. Sin embargo, no podemos controlar quién utiliza la versión gratuita de la herramienta.
Los investigadores observaron que el código generado por el marco MacroPack tiene varias características diseñadas para evadir las protecciones antimalware. Esto incluye cambiar el nombre de funciones, cambiar el nombre de variables, eliminar espacios adicionales, eliminar comentarios, ofuscar cargas útiles, etc.
Lea sobre las herramientas de equipo explotadas por actores maliciosos
Talos identificó cuatro subrutinas no maliciosas en todos los documentos analizados. Estas subrutinas nunca fueron utilizadas por otras subrutinas maliciosas ni en ninguna documentación.
Una subrutina es una sección de código escrita fuera del programa principal.
Es probable que la inclusión de código benigno haga que el código generado por MacroPack sea menos sospechoso y eluda las herramientas antimalware.
Inicialmente, la empresa sospechaba que todos los documentos habían sido creados por un único actor de amenazas. Sin embargo, los diferentes atractivos de los documentos y los diferentes países en los que se cargaron los documentos nos llevaron a concluir que estas subrutinas estaban incluidas en la versión profesional de MacroPack.
Por ejemplo, el primer grupo de tres documentos cargados en VirusTotal desde direcciones IP en China, Taiwán y Pakistán contiene señuelos similares que contienen contenido genérico de documentos de Word que instruye a los usuarios a “habilitar contenido”.
En contraste, el segundo conjunto de documentos fue subido desde dos lugares diferentes en Pakistán, provocando temas relacionados con el ejército de Pakistán.
Como resultado, los investigadores evaluaron con confianza media que los actores maliciosos están utilizando MacroPack para implementar cargas útiles maliciosas.
“El código de Visual Basic para Aplicaciones (VBA) era similar en el sentido de que utilizaba nombres de funciones y variables ofuscados, seguidos de una o más capas de código ofuscado, pero el tema atractivo “son diferentes y representan una amplia gama de actores de amenazas, desde generales temas que instruyen a los usuarios a habilitar macros VBA en documentos oficiales y cartas que parecen ser enviadas desde organizaciones militares”, escribieron los investigadores.
https://www.infosecurity-magazine.com/news/red-teaming-tool-abused-malware/
