Los actores de amenazas están aprovechando una herramienta designada para ejercicios de equipo rojo, MacroPack, para implementar malware, según Cisco Talos. Los investigadores descubrieron varios documentos relacionados de Microsoft cargados en VirusTotal entre mayo y julio de 2024, todos los cuales fueron generados por una versión de un marco generador de carga útil llamado MacroPack. Estos documentos fueron cargados desde varios actores y países, incluidos China, Pakistán, Rusia y Estados Unidos. Los archivos maliciosos se utilizaron para entregar múltiples cargas útiles, incluidos los marcos de postexplotación Havoc y Brute Ratel y una nueva variante del troyano de acceso remoto (RAT) PhantomCore. Lea ahora: La VPN GlobalProtect de Palo Alto falsificada para entregar una nueva variante de malware MacroPack, una herramienta eficaz para la implementación de carga útil MacroPack es una herramienta que permite generar rápidamente varias cargas útiles en diferentes tipos de archivos, incluidos los formatos compatibles con Office, y los usuarios pueden crear implantes funcionales con una sola línea de comando. MacroPack también existe en una versión profesional con soporte, que contiene funcionalidad adicional para hacer que las cargas útiles sean más resistentes y tiene algunas características más avanzadas como eludir el anti-malware, cargas útiles más avanzadas, anti-reversión y cargas útiles adicionales. La herramienta está destinada a ser utilizada por miembros del equipo rojo y no con fines maliciosos. Sin embargo, no hay control sobre quién usa la versión gratuita de la herramienta. Los investigadores notaron que el código generado por el marco MacroPack tiene una serie de características que están diseñadas para eludir las protecciones anti-malware. Estas incluyen cambio de nombre de funciones, cambio de nombre de variables, eliminación de caracteres de espacio sobrantes, eliminación de comentarios y ofuscación de la carga útil. Leer Herramienta de trabajo en equipo abusada por actores maliciosos Talos observó la existencia de cuatro subrutinas no maliciosas en todos los documentos que analizó. Nunca habían sido utilizadas por ninguna otra subrutina maliciosa ni en ningún otro lugar de ningún documento. Las subrutinas son secciones de código escritas fuera del programa principal. Es probable que la inclusión del código benigno esté diseñada para reducir el nivel de sospecha del código generado por MacroPack, eludiendo las herramientas antimalware. Al principio, la empresa sospechó que todos los documentos habían sido creados por un único actor de amenazas. Sin embargo, los diferentes señuelos de documentos y los países donde se habían cargado los documentos la llevaron a concluir que esas subrutinas habían sido incluidas por la versión profesional de MacroPack. Por ejemplo, el primer grupo de tres documentos, cargados en VirusTotal desde direcciones IP ubicadas en China, Taiwán y Pakistán, contenía señuelos similares con un contenido de documento de Word genérico que instruye a los usuarios a «habilitar el contenido». Por el contrario, el segundo grupo de documentos se cargó desde dos ubicaciones diferentes en Pakistán, utilizando temas relacionados con el ejército pakistaní como señuelos. Como resultado, los investigadores evaluaron con moderada confianza que los actores maliciosos están utilizando MacroPack para implementar cargas útiles maliciosas. “Aunque el código de Visual Basic para aplicaciones (VBA) era similar (utilizaba nombres de variables y funciones ofuscados y una o más capas de código ofuscado en las etapas siguientes), los temas atractivos eran diferentes y abarcaban desde temas genéricos que instruían a los usuarios a habilitar macros de VBA hasta documentos y cartas de aspecto oficial que parecían provenir de organizaciones militares y que apuntaban a varios actores de amenazas distintos”, escribieron los investigadores.