CIBERDELINCUENTES USAN COMPLEMENTOS DE VISUAL STUDIO PARA INSERTAR MALWARE

03/02/2023

BOLETÍN NRO 2023-074

Recientemente se ha descubierto que ciberdelincuentes están empezando a utilizar con mayor frecuencia la funcionalidad de Microsoft Visual Tools for Office (VSTO) como método para obtener persistencia y ejecución de código remoto a través de complementos de Office maliciosos.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Debido a que VSTO es un kit para el desarrollo de software integrado en Microsoft Visual Studio IDE, los cuales son extensiones que se utilizan para la integración con aplicaciones de Office, estas pueden ejecutar código remoto en el equipo de la víctima.

Este vector de ataque introduce la posibilidad de insertar malware basado en .NET el cual estará integrado con los complementos maliciosos en conjunto con el documento infectado. Se ha podido observar que los atacantes prefieren emplear el método local de ejecución de código, la cual no requiere eludir mecanismos de seguridad implementado por las víctimas, sin embargo, se ha observado en algunos casos que se ha realizado ejecución de código remoto presente el complemento.

Los investigadores señalan que es probable una mayor cantidad de ciberdelincuentes utilicen este método en sus próximos ataques, siendo principalmente APTs por su alta capacidad para eludir los mecanismos de seguridad implementados por Windows mediante el uso de certificados validos del código.

Indicadores de Compromiso

IP

34[.]241[.]171[.]114

Dominio

classicfonts[.]live

Hash

MD5: 7a681c4be12b7032998d0c8d96b351d3

SHA-256: 5530f5d20016e3f0e6bbc7fad83eec56f118179d4c5d89fc26863c37482f8930

MD5: 7149f67c92c7ab95d0db0818b156a98e

SHA-256: e74dd27ff0ba050bbc006fd579b8022e07b570804588f0e861cc4b1321a3ec48

MD5: 617d58a2f65c01822cbc031e5e61bd25

SHA-256: 0526f63486de882ccf33374dca4b093219a8fd93014babe794715f04ff49b151

MD5: efc9a1fcf7b4008ac618006ded87e85d

SHA-256: b3282dc58ad961911d94b712cea11f649b0ba785d7ff74d7ed9946e1260dd521

MD5: d907e218e016dcecffd6cb756e83bc6d

SHA-256: 40c9d3d58ce5db0c6d18184e5813c980cd7b72efc7505c53cd13e60860ef8157

MD5: 831b17ee6195fe6f33e05ce6833f8878

SHA-256: 78d6a2c0b52e9e5af8007bc824efd5846585a3056b3a0e6efdfa7e60eed48c8c

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Hackers weaponize Microsoft Visual Studio add-ins to push malware
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​