VBA RAT

VBA RAT Descripción

Se detectó una VBA RAT en toda regla como parte de una nueva operación de ataque contra entidades rusas y prorrusas. Hasta ahora, el actor de la amenaza no se ha determinado de manera concluyente y ciertas pruebas apuntan a que puede ser un grupo de piratas informáticos recién surgido. La amenaza de malware se envía a las máquinas de la víctima a través de un documento atractivo que contiene un manifiesto sobre Crimea, una región muy disputada entre Rusia y Ucrania.

Un documento, dos vectores de ataque

El documento del señuelo se llama 'Manifest.docx' (Манифест.docx). Intenta buscar y entregar la carga útil final: la VBA RAT, a través de no uno, sino dos vectores de infección separados. Primero, una plantilla basada en macros que apunta hacia una URL con una plantilla remota que lleva la carga útil de RAT. El segundo vector abusa de un exploit de Internet Explorer designado como CVE-2021-26411. La vulnerabilidad permite que el actor de la amenaza ejecute un shellcode que implementa la misma amenaza VBA RAT.

Capacidades dañinas

El VBA RAT está equipado con todas las capacidades que se esperan de este tipo de malware. Recopila datos sobre la víctima y los exfiltra al atacante. Puede manipular los archivos (eliminar, cargar o descargar) almacenados en los sistemas comprometidos, leer discos y otra información del sistema. La RAT también puede ejecutar comandos arbitrarios. Para evitar una fácil detección por parte de productos anti-malware, la amenaza evita las típicas llamadas API que se utilizan para la ejecución de shellcode. En cambio, VBA RAT recurre a EnumWindows para lograr los mismos objetivos amenazantes.