El pasado 2 de noviembre, PandaLabs fue testigo de una nueva campaña de spam que distribuía un documento de Word enfocado principalmente a empresas de Reino Unido. El mensaje de correo tenía el asunto Companies House – new company complaint y llevaba como adjunto un documento de Word llamado Complaint.doc. Al abrirlo, esto es lo que se puede ver:

Si se siguen las instrucciones y se habilita el documento, se ejecutan las macros que lleva. Se descarga un fichero llamado dododocdoc.exe, que se guarda en %temp% con el nombre sweezy.exe y se ejecuta a continuación. El malware se instala en el ordenador e inyecta una dll en el proceso del sistema svchost.exe, y desde ahí se comunica con el servidor de comando y control del que recibirá instrucciones.

Esta no ha sido una campaña masiva; de hecho, sólo se han visto unos pocos cientos de mensajes, y todos los clientes de Panda Security estaban protegidos de forma proactiva, sin necesidad de firmas ni actualizaciones. Merece la pena mencionar que, al estudiar a las potenciales víctimas, resulta que la mayoría de ellas estaban en el Reino Unido. Hubo siete casos en España y uno en Bélgica, Irlanda y Tailandia. Todos ellos pertenecían a empresas, ningún usuario doméstico estaba entre los atacados. La campaña fue corta, el primer caso sucedió a las 11:55 am y el último a las 13:11 pm (CET).

La macro del documento utiliza PowerShell para ejecutar el malware, una técnica habitual que está ganando mucha popularidad en los últimos tiempos, y se ha utilizado en algunos de los ataques analizados por PandaLabs protagonizados por ransomware o incluso para infectar Terminales de Punto de Venta.

Desde Panda Security recomiendan que las empresas se aseguren de que el software está actualizado, cuenten con una solución de seguridad avanzada y conciencien a su equipo de la importancia del papel de la ciberseguridad en el buen funcionamiento de la empresa.

* Para más información: www.pandasecurity.com