Atacantes cambian macros por links actualizandolos automáticamente
Xavier Mertens, miembro de SANS ISC, ha detectado y analizado un archivo de Word malicioso, que fue creado para descargar automáticamente un archivo RTF para finalmente realizar una infección RAT (Remote Access Trojan).
Lo curioso acerca de este ataque en particular es que usa un enfoque que Mertens nunca había encontrado antes, el archivo aprovecha una funcionalidad de Microsoft Word que automáticamente actualiza los links existentes en un archivo en el momento que este se abre.
“El vector de infección es clásico: El documento (N_Order#xxxxx.docx, con 5 números aleatorios) es recibido como un archivo adjunto, este archivo tiene una puntuación VT de 12/59. Dentro del archivo podemos encontrar un link a otro documento, el cual es el archivo RTF malicioso que intenta explotar la vulnerabilidad CVE 2017-0199”, Descubrió Mertens.
El archivo de Word intenta acceder al archivo RTF, y si lo logra, el nuevo archivo descarga un archivo JavaScript que crea un objeto Shell, esto ejecuta un comando PowerShell para finalmente descargar un archivo PE malicioso (El RAT NetWire).
Mertens dijo que la actualización del link era realizado sin la interacción del usuario o sin ningún mensaje para advertir al usuario de tal acción (cosa que no debería ocurrir en ningún caso). Pero el servicio de análisis de malware Malwr muestra que el archivo sí requiere de la aprobación del usuario para actualizar los links.
Ataques recientes usan enfoques similares
Investigadores de Trend Micro han encontrado recientemente que la vulnerabilidad CVE 2017-0199 ha sido usada por atacantes de otra manera.
En esos ataques, la forma en la que difundían el malware era la misma (un archivo adjunto en un correo electrónico), el archivo malicioso era una presentación de Power Point Open XML (PPSX), y las acciones que realiza el malware son similares (un troyano RAT con capacidades de registrar las teclas presionadas por el usuario). El malware puede realizar todas estas acciones con la ayuda de las características de animaciones de Power Point.
Finalmente, todo esto se parece a una forma relativamente nueva de enviar malware usando archivos de PowerPoint, que es usado por spammers. En ese caso la interacción de los usuarios era definitivamente requerida, la víctima tenía que mover el mouse sobre el link que apuntaba al malware, para que se iniciara la descarga.
“El paso del tiempo dirá si este nuevo vector de infección gana popularidad entre los criminales. El hecho de que no requiera el uso de macros es nuevo y fue una idea lista que todo se realice con solo la actividad del mouse”, notó el investigador de Malwarebytes Jérôme Segura. “No hay duda de que los atacantes van a continuar viniendo con nuevos giros para abusar del elemento humano.” ¿Quizás estos últimos ataques son la evolución de otros?
En todos los casos es muy obvio que los atacantes están apuntando a las compañías, y que su meta principal es obtener información que les permita robar dinero de las cuentas de las víctimas.
saludos
ms, 25-8-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.