Un nuevo y sofisticado programa malicioso, denominado NotDoor, ha sido atribuido a APT28, un grupo de ciberespionaje ruso también conocido como Fancy Bear. Este malware ha sido diseñado específicamente para atacar a usuarios de Microsoft Outlook, lo que permite a los atacantes robar información sensible y tomar control de los sistemas infectados.
El descubrimiento, realizado por la empresa de ciberseguridad española S2 Grupo, revela que NotDoor está escrito en Visual Basic para Aplicaciones (VBA). El malware funciona de forma sigilosa monitoreando los correos electrónicos entrantes en busca de palabras clave específicas como «Informe diario». Una vez que un correo electrónico que contiene estos desencadenantes es detectado, NotDoor se activa, permitiendo a los atacantes ejecutar comandos maliciosos.
¿Cómo logra NotDoor evadir las defensas?
Este malware emplea varias técnicas avanzadas para evitar ser detectado por software de seguridad:
- Ofuscación de código: El código está intencionalmente ofuscado con variables aleatorias, lo que dificulta su análisis.
- Carga lateral de DLL: NotDoor abusa de un archivo legítimo de Microsoft (OneDrive.exe) para cargar archivos maliciosos, lo que hace que parezca un proceso confiable.
- Modificación del registro: El malware altera la configuración de Outlook para desactivar las advertencias de seguridad sobre macros, permitiendo que se ejecute sin alertar al usuario.
Metodología del ataque
Una vez activo, NotDoor utiliza las funciones legítimas de Outlook para mantenerse oculto, creando un directorio secreto para almacenar archivos temporales. Estos archivos son filtrados a una dirección de correo electrónico controlada por los atacantes antes de ser eliminados del sistema de la víctima. El malware confirma el éxito de la infección al enviar una notificación en tiempo real a los atacantes.
Según el análisis, NotDoor ya ha sido utilizado para comprometer a empresas de diversos sectores en países de la OTAN. Para protegerse, se recomienda a las organizaciones:
- Desactivar las macros por defecto en sus sistemas.
- Monitorear de cerca cualquier actividad inusual dentro de las aplicaciones de Outlook.
La aparición de NotDoor representa una escalada en las capacidades de guerra cibernética de APT28, demostrando su habilidad para desarrollar herramientas cada vez más sofisticadas.
