En la campaña observada, los atacantes se centran en hoteles de América Latina. Según el destinatario, el correo electrónico está escrito en español o portugués y se hacen pasar por la administración de un sistema educativo brasileño que coordina alojamientos para empleados. En el anexo, los atacantes envían el supuesto Cadastro Nacional da Pessoa Jurídica (CNPJ), que debe ser usado para “el registro de pagos futuros”. Sin embargo, este es un archivo de texto OpenDocument con objetos OLE externos que entrega malware y evade la detección.
Es particularmente preocupante que, hasta la fecha, esta campaña aún no haya sido detectada por ninguno de los motores antivirus, escáneres de sitios web, herramientas de análisis de archivos y URL que contribuyen a VirusTotal.
Cuando se abren, los archivos OpenDocument desencadenan la descarga automática en segundo plano de malware, lo que eventualmente conduce a la ejecución de AsyncRAT. Una campaña similar que utiliza documentos de Microsoft Word fue detectada la semana pasada con una tasa de detección mucho más alta, destacando la amenaza que representan los archivos OpenDocument que contienen malware.
“La detección de malware en archivos OpenDocument es muy deficiente”, explica Patrick Schläpfer, analista de malware de HP Wolf Security. “La estructura de los archivos OpenDocument no está tan bien analizada por los escáneres antivirus o no se usa con frecuencia en este tipo de campañas. Muchas puertas de enlace de correo electrónico advertirían sobre tipos de archivos más comunes que contienen múltiples documentos o macros vinculados, pero los archivos OpenDocument no se recogen y bloquean de esta manera, lo que significa que la protección y la detección está fallando en la primera etapa”.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |