Los investigadores han detectado una nueva campaña de phishing que debe tener en cuenta.

Lo que distingue a este es que los piratas informáticos están utilizando un archivo CSV humilde pero especialmente diseñado para infectar máquinas. Están instalando el malware BazarBackdoor. Si no está familiarizado con el término CSV significa “Valores separados por comas” y es un formato de archivo de texto que se puede cargar en Excel.

Si abres el archivo en un editor de texto, simplemente verás valores alfanuméricos separados por comas, siendo la primera línea generalmente los encabezados de la hoja de cálculo. Abre el mismo archivo en Excel y separará los datos en filas y columnas ordenadas.

Los archivos CSV son populares porque hacen que sea relativamente fácil exportar datos de una aplicación e importarlos a otra. Dado que los archivos son solo texto, la mayoría de las personas los consideran relativamente inofensivos y, en general, no son tan cautelosos al abrirlos.

Microsoft Excel admite una función llamada Intercambio dinámico de datos (DDE) que se puede usar para ejecutar comandos cuyo resultado se ingresa en la hoja de cálculo abierta, incluidos los archivos CSV.

Los piratas informáticos siempre están buscando nuevos ángulos para jugar y, naturalmente, han comenzado a abusar de esta función. Ejecutan comandos que descargan malware en los dispositivos de víctimas desprevenidas.

BazarBackdoor es una cepa de malware sigiloso creada por el grupo TrickBot. Su objetivo principal, como sugiere el nombre, es proporcionar acceso remoto continuo a un dispositivo interno que se puede utilizar como trampolín para un mayor movimiento lateral dentro de una red.

La campaña actual se centra en correos electrónicos que pretenden ser correos electrónicos de “Aviso de remesa de pago” con enlaces a sitios remotos que descargan un archivo CSV con nombres inocuos como “document-2196t6.csv”.

Si este archivo se abre en el bloc de notas o Word Pad y se examina, a primera vista parecerá que no es más que un archivo CSV común y corriente. Desafortunadamente, dentro de él hay una llamada WMIC en una de las columnas de datos que inicia un comando de PowerShell y eso es suficiente. Eso es todo lo que los piratas informáticos necesitan para instalar el malware.

Como siempre, la vigilancia es tu mejor defensa contra este tipo de cosas. Recuerda a tus empleados que no abran ningún correo electrónico de fuentes desconocidas o que no sean de confianza y que no descarguen ni abran ningún archivo adjunto de esos correos electrónicos.