Un nuevo malware llamado FinalDraft ha sido descubierto utilizando los borradores de correos electrónicos de Outlook para establecer comunicaciones de comando y control (C&C) en un ataque dirigido a un ministerio en un país sudamericano.
Descubrimiento y Cadena de Ataque
Los ataques fueron descubiertos por Elastic Security Labs y dependen de un conjunto completo de herramientas que incluye un cargador de malware personalizado llamado PathLoader, el backdoor FinalDraft y múltiples utilidades post-explotación.
En este caso, el abuso de Outlook tiene como objetivo lograr comunicaciones encubiertas, permitiendo a los atacantes realizar exfiltración de datos, proxying, inyección de procesos y movimiento lateral, todo mientras dejan la menor huella posible.
Cadena de Ataque
El ataque comienza con el actor de la amenaza comprometiendo el sistema de la víctima mediante PathLoader, un pequeño archivo ejecutable que carga código malicioso, incluyendo el malware FinalDraft, que se obtiene de la infraestructura del atacante.
PathLoader incorpora protecciones contra análisis estáticos realizando hashing de API y usando cifrado de cadenas.
Una vez cargado FinalDraft, el malware realiza exfiltración de datos e inyección de procesos. Después de cargar la configuración y generar un ID de sesión, el malware establece comunicación a través de Microsoft Graph API, enviando y recibiendo comandos mediante los borradores de correos de Outlook.
Manejo de Tokens y Persistencia
FinalDraft obtiene un token OAuth de Microsoft usando un token de actualización incrustado en su configuración y lo almacena en el Registro de Windows para un acceso persistente.
Usando los borradores de Outlook en lugar de enviar correos, el malware evita la detección y se disfraza dentro del tráfico normal de Microsoft 365.
Los comandos del atacante se almacenan en los borradores (como r_
Comandos Soportados por FinalDraft ⚠️
FinalDraft admite un total de 37 comandos, siendo los más importantes:
- Exfiltración de datos (archivos, credenciales, información del sistema)
- Inyección de procesos (ejecución de payloads en procesos legítimos como mspaint.exe)
- Ataques Pass-the-Hash (robo de credenciales de autenticación para movimiento lateral)
- Proxying de red (creación de túneles de red encubiertos)
- Operaciones de archivos (copiar, eliminar o sobrescribir archivos)
- Ejecución de PowerShell (sin lanzar el ejecutable powershell.exe)
Variantes de Linux y Métodos de Comunicación ️
Elastic Security Labs también observó una variante de FinalDraft para Linux, que aún puede utilizar Outlook a través de REST API y Graph API, así como HTTP/HTTPS, UDP y ICMP reversos, TCP bind/reverse y intercambio de C2 basado en DNS.
Operación REF7707*
Los investigadores presentaron la campaña de ataque, llamada REF7707, que está enfocada en un ministerio de relaciones exteriores sudamericano. Sin embargo, el análisis de la infraestructura reveló vínculos con víctimas del sudeste asiático, lo que sugiere que se trata de una operación más amplia.
Errores de Operaciones de Seguridad ️
A pesar de la sofisticación de la intrusión, se observaron varios errores de operaciones de seguridad (opsec) cometidos por los atacantes, lo que llevó a su exposición. Además, se descubrió otro cargador de malware previamente no documentado, llamado GuidLoader, capaz de desencriptar y ejecutar payloads en memoria.
Objetivos de la Campaña
El análisis también mostró que los atacantes repetidamente apuntaron a instituciones de alto valor a través de puntos finales comprometidos en proveedores de infraestructura de telecomunicaciones e internet en el sudeste asiático.
Además, se descubrió que un sistema de almacenamiento público de una universidad del sudeste asiático fue utilizado para alojar los payloads de malware, lo que sugiere una posible compromiso previo o un acceso a la cadena de suministro.
Mitigación y Protección ️
Este tipo de ataques sofisticados pone de manifiesto la creciente amenaza de los actores maliciosos que abusan de servicios legítimos como Outlook para realizar actividades clandestinas. La investigación continúa para identificar y mitigar estas amenazas de forma más efectiva.