Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós CABINETRAT Backdoor

CABINETRAT Backdoor

El Mezo el Programari maliciós, Portes del darrere
Traduir a:

Investigadors d'Infosec han publicat una alerta sobre una campanya específica observada el setembre de 2025 que instal·la una porta del darrere en llenguatge C rastrejada com a CABINETRAT. Segons l'Equip de Resposta a Emergències Informàtiques d'Ucraïna (CERT-UA), l'activitat s'atribueix a un clúster rastrejat (UAC-0245) després que els analistes descobrissin complements de Microsoft Excel (fitxers XLL) convertits en armes utilitzats a la cadena d'atac.

Fitxers ZIP i un document policial fals

Segons els informes, els atacants van empaquetar els XLL maliciosos dins d'arxius ZIP i els van distribuir a través de l'aplicació de missatgeria Signal, fent-se passar per un document relacionat amb detencions a la frontera amb Ucraïna. Quan una víctima extreu i obre el XLL, comença la seqüència de deposició.

Què crea el comptagotes

S'estan generant diversos fitxers als sistemes compromesos, incloent-hi:

  • un EXE col·locat a la carpeta d'inici de Windows
  • un XLL anomenat BasicExcelMath.xll a %APPDATA%\Microsoft\Excel\XLSTART\
  • un PNG anomenat Office.png que realment porta codi shell incrustat

Aquests fitxers es creen a l'amfitrió com a part de la persistència i la posada en escena de la càrrega útil.

Com s’activa la càrrega útil

El fitxer XLL implantat configura les entrades del Registre per garantir que l'EXE s'executi a l'inici i, a continuació, inicia l'Excel (excel.exe) amb el commutador /e (embed) en mode ocult perquè el complement es carregui silenciosament. El XLL carregat extreu el codi shell ocult dins de la imatge PNG adjunta; aquest codi shell és l'implant de CABINETRAT. Les directrius de Microsoft assenyalen que els complements XLL que no són de confiança solen ser utilitzats de manera abusiva pels actors d'amenaces i que les versions modernes de l'Excel bloquegen els XLL que no són de confiança per defecte, però l'enginyeria social i l'aprovació de l'usuari encara poden permetre que s'executin.

Antianàlisis i mesures de sandbox

Tant el carregador XLL com el codi de shell en memòria realitzen comprovacions anti-VM i anti-anàlisi. Els exemples observats a les mostres inclouen la verificació que hi hagi almenys dos nuclis de CPU, la comprovació d'un mínim d'uns 3 GB de RAM i la cerca d'artefactes de virtualització o anàlisi (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Aquestes comprovacions tenen com a objectiu avortar o canviar el comportament en entorns de laboratori/sandbox i reduir la probabilitat de detecció.

Capacitats malicioses de CABINETRAT

CABINETRAT és una porta del darrere completa escrita en C. Les seves capacitats documentades inclouen: enumeració del sistema (informació del sistema operatiu i del maquinari), llistar les aplicacions instal·lades, fer captures de pantalla, enumerar directoris, eliminar fitxers o carpetes especificats, executar ordres arbitràries i carregar/descarregar fitxers. Les comunicacions de xarxa es produeixen a través d'un canal TCP a la infraestructura remota de comandament i control (C2), permetent als operadors interactuar amb els hosts infectats.

Campanyes similars contra Ucraïna

Aquesta revelació arriba després d'altres campanyes molt dirigides contra entitats ucraïneses. Recentment, els investigadors van informar d'una operació de phishing sense fitxers separada que es feia passar per la Policia Nacional d'Ucraïna i lliurava càrregues útils com ara Amatera Stealer (robatori de dades) i PureMiner (criptomineratge), cosa que il·lustra que s'estan utilitzant múltiples vectors i famílies de programari maliciós en paral·lel contra organitzacions de la regió.

Monitoritzar, Siolar, Remediar

Donat el caràcter actiu i específic d'aquesta campanya i les tàctiques antianàlisi dels operadors, els defensors haurien d'assumir que qualsevol arxiu sospitós lliurat per Signal que contingui complements d'Office és potencialment maliciós. Prioritzeu la contenció dels amfitrions sospitosos, recopileu artefactes volàtils (llistes de processos, memòria, connexions de xarxa) i compartiu indicadors confirmats amb CERT-UA o el vostre CSIRT local per ajudar a mapejar i interrompre les operacions de l'actor.

Tendència

Missatges que esperen la vostra atenció: estafa per...

Phishing, Correu brossa
El correu electrònic continua sent un dels vectors d'atac més comuns per als ciberdelinqüents, i les estafes disfressades de notificacions de comptes són particularment perilloses. Una d'aquestes campanyes fraudulentes és l'estafa de correu electrònic "Missatges esperant la vostra atenció", que enganya els destinataris perquè visitin llocs de phishing dissenyats per robar credencials sensibles....

Més vist

Carregant...