Los ciberdelincuentes están utilizando documentos de Excel maliciosos conocidos como ‘maldocs’ para robar la información de los usuarios a los investigadores de seguridad de NVISO Labs.
Según un análisis detallado publicado por investigadores de NVISO Labs, una banda de malware llamada Epic Manchego ha estado apuntando a empresas de todo el mundo con correos electrónicos de phishing que contienen documentos de Excel maliciosos.
«En julio de 2020, NVISO detectó un conjunto de documentos de Excel maliciosos, también conocidos como» maldocs «, que distribuyen malware a través de hojas de cálculo activadas por VBA», se lee en el informe.
Los ciberdelincuentes crean estos documentos a través de una biblioteca .NET denominada EPPlus en lugar de Microsoft Office, lo que dificulta su detección.
“Los creadores de los documentos de Excel maliciosos utilizaron una técnica que les permite crear libros de trabajo de Excel cargados de macros, sin necesidad de utilizar Microsoft Office.
Como efecto secundario de esta forma particular de trabajar, la tasa de detección de estos documentos suele ser más baja que la de los maldocs estándar ”, se lee en el informe.
Los ciberdelincuentes están utilizando EPPlus para generar archivos de hojas de cálculo en formato Office Open XML (OOXML).
El documento contiene macros que pueden robar información del usuario si se ejecutan. Cuando un usuario abre los archivos de Excel y hace clic en el botón ‘Habilitar edición’, permite que se ejecute el script. Luego descarga e instala malware en los sistemas de los usuarios.
Las cargas útiles finales incluyen troyanos de robo de información como Azorult, AgentTesla, Formbook, Matiex y njRat.
«Las cargas útiles que se han observado hasta la fecha del lanzamiento de esta publicación, han sido, en su mayor parte, los llamados ladrones de información con la intención de recolectar contraseñas de navegadores, clientes de correo electrónico», dice el informe.
Los investigadores aconsejaron además a los usuarios que examinen cuidadosamente los documentos de scuh recibidos de fuentes externas al trabajo y que “implementen defensas sólidas de detección y respuesta de endpoints” para prevenir ataques.