Se ha observado una nueva ola de campañas de phishing que propagan un malware previamente documentado llamado SVCReady.
«El malware se destaca por la forma inusual en que se entrega a las PC de destino, utilizando un código de shell oculto en las propiedades de los documentos de Microsoft Office», dijo Patrick Schläpfer, analista de amenazas de HP, en un artículo técnico.
Se dice que SVCReady se encuentra en su etapa inicial de desarrollo, y los autores actualizaron iterativamente el malware varias veces el mes pasado. Los primeros signos de actividad datan del 22 de abril de 2022.
Las cadenas de infección implican el envío de archivos adjuntos de documentos de Microsoft Word a los objetivos por correo electrónico que contienen macros de VBA para activar la implementación de cargas útiles maliciosas.
Pero donde esta campaña se destaca es que en lugar de emplear PowerShell o MSHTA para recuperar los ejecutables de la siguiente etapa desde un servidor remoto, la macro ejecuta el código de shell almacenado en las propiedades del documento , que posteriormente elimina el malware SVCReady.
Además de lograr la persistencia en el host infectado por medio de una tarea programada, el malware tiene la capacidad de recopilar información del sistema, capturar capturas de pantalla, ejecutar comandos de shell, así como descargar y ejecutar archivos arbitrarios.
Esto también incluyó la entrega de RedLine Stealer como carga útil de seguimiento en una instancia el 26 de abril después de que las máquinas se vieran comprometidas inicialmente con SVCReady.
HP dijo que identificó superposiciones entre los nombres de archivo de los documentos de señuelo y las imágenes contenidas en los archivos utilizados para distribuir SVCReady y los empleados por otro grupo llamado TA551 (también conocido como Hive0106 o Shathak ), pero no está claro de inmediato si el mismo actor de amenazas es detrás de la última campaña.
«Es posible que estemos viendo los artefactos dejados por dos atacantes diferentes que usan las mismas herramientas», señaló Schläpfer. «Sin embargo, nuestros hallazgos muestran que los actores detrás de las campañas TA551 y SVCReady están utilizando plantillas similares y potencialmente creadores de documentos».