Las macros de Excel 4.0, que fueron introducidas por Microsoft en sus productos de MS Office a principios de la década de 1990, ganaron una buena popularidad entre los ciberatacantes por su efectividad para atacar a posibles víctimas. Recientemente, se vio nuevo malware usando este truco para apuntar a sus víctimas.
Avaddon usa los viejos trucos de Marco
El ransomware Avaddon, que estuvo activo en la primera semana de junio, ahora se encuentra nuevamente activo, trayendo consigo las viejas técnicas de ataque basadas en macros de Microsoft Office.
- Recientemente, se vio que el ransomware Avaddon se distribuía a través de técnicas antiguas relacionadas con las macros de Excel 4.0.
- La campaña se vio principalmente dirigida a usuarios muy específicos en Italia. Envió correos electrónicos con macros maliciosas de Excel 4.0. Se envió un mensaje de muestra a una pequeña empresa, pretendiendo ser de la Inspección de Trabajo, informando a las posibles víctimas sobre algunas sanciones y posibles acciones legales debido a algunas violaciones relacionadas con el trabajo.
- Las macros de Excel 4.0 incrustadas dentro del documento fueron capaces de descargar directamente la muestra de ransomware Avaddon, sin la necesidad de ningún descargador intermediario.
Otros ataques recientes
Avaddon Ransomware se observó por primera vez a principios de junio de 2020, utilizando una carita sonriente para campañas dirigidas a víctimas.
- En junio, el Avaddon Ransomware se observó en una campaña masiva de spam, con 300,000 correos electrónicos entregados en un corto período, dirigidos a usuarios de todo el mundo.
- En ese momento, la Botnet Phorphiex / Trik se usaba para distribuir correos electrónicos maliciosos, teniendo un archivo JavaScript malicioso disfrazado como una foto JPG.
Avaddon abierto para otros afiliados también
A principios de junio, se encontraron algunos anuncios promocionando Avaddon como un nuevo programa Ransomware-as-an-Affiliate (RaaS), en algunos foros de hackers de habla rusa.
- En este programa de afiliación, los operadores de Avaddon ofrecieron el ransomware ya desarrollado y la operación del sitio de pago TOR. Los afiliados eran libres de distribuir el ransomware a través de spam, redes comprometedoras o kits de explotación.
- Los operadores de Avaddon propusieron pagar a los afiliados el 65% de los pagos de rescate que logran obtener, mientras que se quedan con el 35% de participación.