La botnet Andrómeda sigue sumando PCs Zombies mediante macros de word

La botnet Andrómeda sigue sumando PCs Zombies mediante macros de word

La botnet Andrómeda sigue sumando PCs Zombies mediante macros de word - Botnet-Andromeda-800x788

Expertos de G DATA, han descubierto varios programas maliciosos bajo las órdenes de un mismo servidor de comando y control cuyo objetivo es infectar PCs con que alimentar la botnet Andrómeda, famosa por haber difundido el troyano ZeuS en 2011. Los códigos maliciosos analizados por G DATA utilizan modos de infección significativamente diferentes, de lo que se puede deducir que el ataque ha podido ser planeado por varios autores con el objetivo de distribuir masivamente el malware. Las soluciones de G DATA detectan el malware e impiden la infección.

El malware se distribuye impregnado en macros de documentos de Word manipulados y, en los casos analizados, camuflados en falsas facturas. Estos archivos llegan en adjuntos de correos no deseados distribuidos en oleadas de spam. En caso de que el usuario no tenga activada la ejecución automática de macros, se mostrará una advertencia explicando que dicha ejecución esta deshabilitada así como un botón para activarla.

La botnet Andrómeda sigue sumando PCs Zombies mediante macros de word - habilitar-macros-800x336

Al abrir el documento y activar las macros de Office, la víctima activa una serie de acciones en cadena que concluyen con la generación del archivo msnjauzge.exe que, una vez ejecutado, crea una entrada en el sistema que le permite sobrevivir a cualquier reinicio: desde ese momento, el equipo está infectado y a disposición de los creadores de la botnet. En un siguiente paso, estas máquinas podrían ser utilizadas como aspersores de spam infectadas con troyanos bancarios, programas espía…siempre en función de los intereses de sus creadores o de los cibercriminales que en un determinado momento puedan manejarlas.

El malware se comporta como una muñeca Matrioska una vez que se introduce en el sistema y va, poco a poco, revelando su potencial y sus objetivos“, afirma Ralf Benzmüller, director de G DATA SecurityLabs, “Sospechamos que los sistemas infectados están destinados a incorporarse como PCs zombis en la botnet Andrómeda/Gamareu“.

¿Qué son los macros?

Los macros son utilizados para automatizar procesos y unificar tareas que pasan a realizarse de forma secuencial en un solo clic. Habitualmente están deshabilitadas en Microsoft Office porque constituyen un riesgo de seguridad. Como se demuestra en el caso antes descrito, los cibercriminales pueden aprovechar esta útil función en su propio beneficio y utilizar los macros para camuflar el malware e infectar el sistema.

Más información en: G Data