La letra de Drake «In My Feelings» se encontró en el ataque de malware

Los piratas informáticos pueden cansarse de inyectar virus simples para robar datos, ya que ahora también están agregando sus intereses. Además de ser dañinos, pocos piratas informáticos están probando nuevas formas divertidas de deshacerse de malware. Último encontrado por AppRiver revela a un atacante que hace referencia a las letras de Drake en su código malicioso mientras roba datos.

Infección a través de PowerPoint

Maestro X, es un nuevo pirata informático que está propagando su malware a través de archivos de PowerPoint. Su campaña comienza con el envío de un correo electrónico a los anfitriones, principalmente como una respuesta comercial importante sobre la que actuar. El correo electrónico, como lo describe AppRiver, constaba de dos archivos de PowerPoint como Slip.pss en blanco y INVOO13433361.pssy algunas frases convincentes que obligan a la víctima a hacer clic en los archivos adjuntos.

Letras de Drake utilizadas en el ataque de malware
Imagen atlántica

Hacer clic en cualquiera de los archivos permite ejecutar un script visual básico, que utiliza mshta.exe, un ejecutable HTML de Microsoft que apunta al acortador de enlaces Bitly. Todo esto es solo para evitar ser detectado por las defensas generales del navegador. Además, utiliza una tarea de línea de comandos para detener la ejecución activa de las aplicaciones de Excel y Word.

Luego, se crea una tarea programada para que mshta.exe se comunique con Pastebin cada 60 minutos. Pastebin es solo un sitio simple para compartir texto donde mshta.exe obtiene un código de secuencia de comandos codificado que recupera una URL que ha decidido qué tipo de malware (Lokibot o Azorult) la víctima comprometida debe recibir.

Haciendo referencia a las letras

El código recibido de Pastebin se traduce luego a un script de Powershell que hace referencia a la música del cantante Drake. En mis sentimientos particularmente, Keke (Kiki) amas Me. Además, la ofuscación de DownloadString dentro del código de Powershell es solo otra capa para volverse sigiloso en su campaña.

Finalmente, el script de Powershell se comunica con Paste.ee, otro sitio sencillo para compartir texto, para descargar el archivo malicioso Calc.exe infectar el sistema. Hasta la fecha, todavía no hay una estimación del éxito de este malware. Pero sea lo que sea, es un escondite genial y cómico.