Se ha detectado una nueva campaña llamada CLOUD#REVERSER que utiliza servicios legítimos dealmacenamiento en la nube, como Google Drive y Dropbox, para alojar cargasútiles maliciosas.
"Los scripts están diseñados para obtener archivos que coinciden con patrones específicos,lo que sugiere que están esperando comandos o scripts colocados en Google Driveo Dropbox".
El punto departida de la cadena de ataque es un correo electrónico de phishing que contiene un archivo ZIP, que contiene un ejecutable que se hace pasar por unarchivo de Microsoft Excel.
Como resultado,el nombre de archivo "RFQ-101432620247fl*U+202E*xslx.exe" se muestraa la víctima como "RFQ-101432620247flexe.xlsx", engañándola asíhaciéndole creer que está abriendo un documento de Excel.
El ejecutable estádiseñado para soltar un total de ocho cargas útiles, incluido un archivo deExcel señuelo ("20240416.xlsx") y un script de Visual Basic (VB) muyofuscado ("3156.vbs") que es responsable de mostrar el archivo XLSXal usuario para mantener la artimaña e iniciar otros dos scripts denominados"i4703.vbs" e "i6050.vbs".
La campaña CLOUD#REVERSER demuestra cómo los ciberdelincuentes están utilizando servicioslegítimos de almacenamiento en la nube para distribuir malware mediante correoselectrónicos de phishing.
Es crucial que las organizaciones refuercen laconcienciación sobre seguridad y adopten medidas proactivas para detectar yprevenir estos ataques, como el filtrado de contenido y la formación enidentificación de correos electrónicos maliciosos.
