Outlook traiciona a sus usuarios por orden de Fancy Bear — un software de confianza se convierte en enemigo

Investigadores de Kroll informaron sobre una nueva campaña de espionaje en la que se empleó el malware GONEPOSTAL. Este programa fue detectado en operaciones del grupo KTA007, también conocido como Fancy Bear, APT28 y Pawn Storm. Se compone de dos elementos: un archivo DLL dropper y un módulo de macro disfrazado VbaProject.OTM para Microsoft Outlook. Este conjunto permitió convertir el cliente de correo en un canal de comunicación oculto y dar a los atacantes acceso persistente al sistema.

La biblioteca falsa SSPICLI.dll se hace pasar por un módulo legítimo de Windows y redirige todas las llamadas a funciones a la biblioteca real, renombrada como tmp7EC9.dll. De este modo, las aplicaciones continúan funcionando correctamente mientras el código inyectado ejecuta comandos PowerShell. Entre ellos figura la copia del archivo "testtemp.ini" a la carpeta de Outlook, lo que garantiza la ejecución de macros maliciosas al iniciar el cliente de correo, así como varias consultas a recursos externos mediante nslookup y curl. Estas acciones ayudan a los operadores a registrar nombres de usuario y direcciones IP de las víctimas.

Tras la ejecución de los comandos, la DLL modifica la configuración del registro del sistema. La clave LoadMacroProviderOnBoot obliga a Outlook a cargar automáticamente las macros, el parámetro Security Level se ajusta para permitir todas las macros, y el valor PONT_STRING desactiva la advertencia sobre la carga de contenido potencialmente peligroso. Como resultado, todos los mecanismos de protección quedan eludidos incluso antes de que Outlook se inicie.

El archivo macro VbaProject.OTM contiene la mayor parte de la funcionalidad de GONEPOSTAL. Su código está protegido con contraseña y ofuscado, pero el análisis mostró que proporciona una puerta trasera completa. Al iniciar Outlook se inicializa la configuración y la función Application_NewMailEx comienza a supervisar los correos entrantes. Si contienen comandos de control codificados, se envían para su procesamiento y se ejecutan localmente. En total se admiten cuatro tipos de acciones: ejecución de comandos PowerShell con o sin guardado del resultado, descarga de archivos en el equipo infectado y envío de datos a un servidor externo.

Para la transmisión de información GONEPOSTAL utiliza el propio Outlook. Los resultados de la ejecución de comandos y los archivos necesarios se dividen en pequeños fragmentos, se codifican en base64 y se adjuntan a correos que se envían automáticamente a la dirección de los operadores. De forma análoga ocurre la recepción de archivos y su posterior ensamblado a partir de fragmentos. Este enfoque permite a los atacantes usar un canal de comunicación corporativo legítimo, lo que hace la actividad poco visible y difícil de detectar por las defensas.

La característica distintiva del malware es su orientación a métodos LotL. En lugar de protocolos ajenos o servidores ocultos, emplea la infraestructura existente de Microsoft Outlook, lo que reduce drásticamente la probabilidad de detección. El análisis también identificó fragmentos en el código que aún no se utilizan, lo que indica un posible desarrollo futuro de la funcionalidad.

Según Kroll, esta herramienta demuestra un método atípico de persistencia en el sistema. Aunque el uso de macros de Outlook con fines maliciosos ya se ha observado en otras campañas, GONEPOSTAL sigue siendo un ejemplo poco común de este mecanismo y representa una amenaza seria para las organizaciones donde Outlook se utiliza como cliente de correo principal.