Investigadores descubren una sofisticada cadena de infección “sin archivos” (Fileless) que resucita una vulnerabilidad de Office de 2017 para tomar el control total de los sistemas de las víctimas.
La logística y el comercio electrónico siguen siendo los disfraces favoritos de los cibercriminales. Se ha publicado hoy un análisis detallado sobre una nueva campaña de distribución del infame Remcos RAT (Remote Access Trojan), la cual está atacando bandejas de entrada corporativas con supuestos “Documentos de Envío” urgentes.
Lo que hace destacar a este ataque no es el malware en sí (Remcos es un viejo conocido), sino su método de entrega altamente evasivo que combina plantillas remotas de Word y la explotación de vulnerabilidades antiguas para ejecutarse directamente en la memoria, sin tocar el disco duro.
La Cadena de Infección: Un Rompecabezas Letal
El ataque comienza, como muchos, con un correo de phishing. El asunto suele referirse a un aviso de envío, una factura de exportación o una lista de empaque.
- El Gancho: El correo adjunta un archivo de Word (.docx).
- La Plantilla Remota: Al abrir el documento, este no contiene el código malicioso directamente. En su lugar, utiliza la función de “Plantilla Remota” de Microsoft Word para contactar a un servidor externo y descargar un archivo .rtf (Rich Text Format) corrupto.
- El Exploit (CVE-2017-11882): El archivo RTF explota una vulnerabilidad en el Editor de Ecuaciones de Microsoft Office. A pesar de tener años de antigüedad, este fallo sigue siendo efectivo en organizaciones que no han parcheado rigurosamente sus suites ofimáticas.
- Ejecución en Memoria: El exploit ejecuta un script VBScript, que a su vez lanza PowerShell para descargar un módulo .NET. Este módulo final decodifica e inyecta la carga útil de Remcos RAT directamente en la memoria del proceso, evadiendo muchos antivirus tradicionales que solo escanean archivos guardados en el disco.
¿Qué hace Remcos?
Una vez activo, Remcos (“Remote Control and Surveillance”) convierte la computadora infectada en una herramienta de espionaje total. El operador remoto puede:
- Capturar pulsaciones de teclas (Keylogging): Robando contraseñas y mensajes.
- Grabar audio y video: Activando micrófono y cámara.
- Tomar capturas de pantalla.
- Administrar archivos: Subir, descargar o ejecutar otros programas maliciosos.
Indicadores de Compromiso (IoCs)
Los investigadores han aislado varios indicadores clave asociados a esta campaña específica:
- Nombres de archivo: Shipping document.docx, Export-bill.docx.
- Técnica: Inyección de plantillas remotas + Inyección de procesos (“Process Hollowing” o inyección directa en memoria).
Recomendaciones
Esta campaña demuestra que las vulnerabilidades “viejas” como CVE-2017-11882 siguen siendo armas nucleares en manos de los atacantes si no se gestionan correctamente.
- Parcheo de Office: Asegurarse de que todas las instalaciones de Microsoft Office estén actualizadas para cerrar la brecha del Editor de Ecuaciones.
- Desactivar Macros y OLE: Configurar políticas de grupo para impedir que Office descargue plantillas externas o ejecute objetos OLE automáticamente.
- Educación Anti-Phishing: Entrenar al personal para desconfiar de documentos de envío inesperados, especialmente si solicitan “Habilitar Edición” o “Habilitar Contenido”.
