En las últimas semanas, los equipos de seguridad han observado una nueva cepa sofisticada de malware, doblada GOEN POSTAL, que subvierte las perspectivas de Microsoft a las instrucciones de comando y control (C2).
Al emerger a través de campañas de phishing de lanza dirigidas a entornos corporativos, Goundpostal se disfraza de un documento de oficina benigno.
Al abrir el archivo adjunto armado, las víctimas activan sin saberlo una carga útil de varias etapas que se interfiere directamente con las API COM de Outlook para enviar y recibir mensajes de correo electrónico cifrados que contienen datos C2.
Los primeros indicadores sugieren que el actor de amenaza detrás de GOEN Postal tiene como objetivo mantener el sigilo ocultando el tráfico de la red dentro de los flujos de correo electrónico legítimos, socavando las defensas tradicionales basadas en perímetro.
Los analistas de Kroll señalaron que los vectores de compromiso inicial dependen de tácticas de ingeniería social que exploten los comportamientos comunes en el lugar de trabajo.
El documento malicioso aprovecha una macro de VBA muy ofuscada para soltar un ejecutable de lanzador liviano en la carpeta temporal del usuario.
Una vez invocado, el lanzador carga dinámicamente módulos adicionales desde un servidor remoto, combinándose con operaciones de rutina de Outlook.
Estos módulos secundarios analizan la libreta de direcciones de la víctima para identificar objetivos internos probables para el movimiento lateral, luego elaboran correos electrónicos salientes con instrucciones de control codificadas en Base64 incrustadas en los archivos adjuntos de imágenes.
Investigadores de Kroll identificado que esta táctica evita efectivamente la mayoría de los electrodomésticos de puerta de enlace de correo electrónico, ya que los archivos adjuntos aparecen como logotipos inocuos de la compañía o volantes promocionales.
En su tercera fase, GOENPOSTAL establece la persistencia al crear una entrada de registro bajo HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, haciendo referencia a un documento de palabra de aspecto benigno llamado “Company_Update.docx”.
Este documento contiene un objeto OLE oculto que, cuando se abre por la víctima a través de Outlook Preview, vuelve a ejecutar la carga útil sin recaudar ninguna indicación de seguridad.
Además, el malware escribe una DLL en el directorio AppData \ Roaming \ Microsoft \ Outlook y lo registra con el marco de complementos de Outlook, asegurando que cada instancia de Outlook cargue automáticamente el componente malicioso en el inicio.
Las víctimas generalmente desconocen la residencia de la amenaza, ya que el complemento se manifiesta bajo el nombre de “OfficeUpdate”.
El impacto de GOEN POSTAL ha sido significativo. Múltiples empresas medianas en América del Norte han reportado picos de tráfico de correo electrónico salientes inexplicables, emparejados por robo de credenciales y transferencias de archivos no autorizadas.
Los equipos de seguridad que investigan las sesiones SMTP anómalas descubrieron las blobs JSON encriptadas en línea con imágenes en línea, que, después del descifrado, revelaron datos de reconocimiento del sistema y comandos de shell remotos.
Este canal dinámico C2 permite a los adversarios consultar claves de registro, manipular archivos y pivotar a controladores de dominio, todo mientras evade firmas de detección estándar.
Mecanismo de infección
Un examen más detallado del mecanismo de infección de GoenPostal revela la dependencia de la campaña de una macro de VBA inteligentemente diseñada integrada dentro de un documento atrapado en el tope.
Diagrama de flujo de ejecución (fuente – Kroll)
El código macro, fuertemente ofuscado para ocultar su verdadero propósito, comienza declarando referencias de objeto Outlook com:-
Dim outlookpapp como objeto establecer OutlookApp = createObject (“Outlook.Application”) Dim MailItem como Object Set MailItem = OutlookApp.CreateItem (0) MailItem.To = DestinatenAddress MailItem.Subject = “Informe mensual” MailItem.Attachments.Add PayloadPath.
Una vez ejecutado, este fragmento no solo envía la carga útil inicial, sino que también programa tareas de seguimiento a través del programador de tareas de Windows, asegurando que Outlook siga siendo el conducto principal para la orquestación de comando en curso.
Al aprovechar las ventanas nativas y los componentes de la oficina, GOIN Postal otorga dependencias externas, lo que hace que sea especialmente difícil determinar a través de las herramientas de monitoreo de red convencionales.
La cadena de infección culmina con la instalación de un complemento de Outlook sigiloso, lo que permite al atacante cosechar y recibir correos electrónicos, modificar encubiertamente el contenido de mensajes y emitir nuevos comandos C2 sin conciencia del usuario.
Este diseño modular demuestra un alto grado de madurez operacional, lo que indica que el actor de amenaza está bien versado en la combinación de actividades maliciosas con flujos de trabajo de usuario cotidianos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
