Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

amenazas aplicaciones cloud

6 consejos para evitar el malware ruso del PowerPoint

El movimiento del ratón en documentos señuelos de Microsoft PowerPoint está siendo aprovechado por un atacante vinculado al Estado ruso,conocido como Fancy Bear (también como APT28, Pawn Storm o Tsar Team, entre otros), para instalar malware en empresas.

Para conocer más a fondo esta amenaza, Nunsys la ha analizado con el fin de ofrecer una serie de recomendaciones para empresas y organismos que potencialmente puedan verse afectados.

“Aunque el objetivo de la campaña parece ir dirigido al sector de la defensa y gobierno, no conviene descuidar la vigilancia en el resto de industrias, especialmente dado el amplio uso de PowerPoint como herramienta ofimática en toto tipo de empresas”, señala Rafael Vidal Iniesta, gerente de negocio de ciberseguridad y gobierno IT en Nunsys

Así funciona 

Los objetivos potenciales de la operación incluyen a entidades e individuos que operan en los sectores de defensa y gobierno de Europa y Europa del Este. El ataque emplea un documento señuelo que hace uso de una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económicos (OCDE).

6 consejos para evitar el malware ruso del PowerPoint

El malware ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un “dropper” desde la solución de almacenamiento OneDrive. Dicho “dropper”, un archivo de imagen aparentemente inofensivo, funciona como una vía para incorporar un fichero o “payload” persistente, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C&C) para obtener información.

Cómo prevenirlo

El responsable recomienda una serie de medidas de asegurar para ayudar a garantizar la seguridad de las organizaciones:

  • Contar con herramientas EDR (detección y respuesta del endpoint, es decir, del dispositivo informático del empleado) para monitorizar el tráfico entre dispositivos y red y proteger el puesto de trabajo
  • Prohibir uso de macros en documentos ofimáticos que provengan de fuentes no confiables (Internet, Email, etc.), y deshabilitar línea de comandos (“powershell”) en perfiles de usuarios que no lo requieren
  • Contar con herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando en la web de los fabricantes que se está utilizando la última versión del software
  • Asegurar el sistema de copias de seguridad para prevenir que, ante una intrusión, los usuarios maliciosos puedan manipular o eliminar las copias de seguridad. Por ejemplo, sacando los equipos de copias de seguridad fuera del dominio de la empresa
  • Desplegar dispositivos de seguridad perimetral, como un cortafuegos que filtre las conexiones que se establecen desde y hacia el dispositivo de los empleados
  • Permanecer informado y al día de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades, 0-days y nuevos mecanismos de ataque

Deja un comentario

Scroll al inicio