Los piratas informáticos utilizan un nuevo truco para deshabilitar las advertencias de seguridad de macros en archivos maliciosos de Office

Si bien es una norma para las campañas de phishing que distribuyen documentos de Microsoft Office armados para solicitar a las víctimas que habiliten macros para desencadenar la cadena de infección directamente, los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para desactivar las advertencias de seguridad antes de ejecutar el código de macro para infectar a las víctimas. ‘ordenadores.

En otro caso más de autores de malware que continúan desarrollando sus técnicas para evadir la detección, los investigadores de McAfee Labs se toparon con una táctica novedosa que «descarga y ejecuta archivos DLL maliciosos (ZLoader) sin ningún código malicioso presente en la macro inicial del archivo adjunto enviado como spam».

Las infecciones de ZLoader propagadas mediante este mecanismo se informaron principalmente en los EE. UU., Canadá, España, Japón y Malasia, señaló la firma de ciberseguridad. El malware, descendiente del infame troyano bancario ZeuS, es bien conocido por usar agresivamente documentos de Office habilitados para macros como un vector de ataque inicial para robar credenciales e información de identificación personal de usuarios de instituciones financieras objetivo.

Al investigar las intrusiones, los investigadores descubrieron que la cadena de infección comenzó con un correo electrónico de phishing que contenía un documento adjunto de Microsoft Word que, cuando se abría, descargaba un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga.

«Después de descargar el archivo XLS, Word VBA lee el contenido de la celda de XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en las macros de XLS VBA como funciones», dijeron los investigadores. «Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para ‘Deshabilitar advertencia de macro de Excel’ e invoca la función de macro maliciosa del archivo de Excel. El archivo de Excel ahora descarga la carga útil de ZLoader. La carga útil de ZLoader es entonces ejecutado usando rundll32.exe».

Dado el «riesgo de seguridad significativo» que plantean las macros, la función generalmente está deshabilitada de forma predeterminada, pero la contramedida ha tenido un efecto secundario desafortunado de los actores de amenazas que crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad que se presenta al usuario, los ataques son dignos de mención debido a los pasos que toma para frustrar la detección y permanecer bajo el radar.

«Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado en sus técnicas de infección y ofuscación, no solo limitándose a las descargas directas de la carga útil de VBA, sino creando agentes dinámicamente para descargar cargas útiles», dijeron los investigadores. «El uso de dichos agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas que viven fuera de la tierra para descargar sus cargas útiles».

(La historia se actualizó para reflejar el hecho de que las macros deben habilitarse al comienzo de la cadena de infección).

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática