Si bien es una norma para las campañas de phishing que distribuyen documentos de Microsoft Office armados para solicitar a las víctimas que habiliten macros para desencadenar la cadena de infección directamente, los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad, antes de ejecutar la macro para infectar a las víctimas.
Los investigadores de McAfee Labs encontraron una táctica novedosa que descarga y ejecuta una DLL maliciosos sin ningún código malicioso presente en la macro inicial que se distribuye mediante spam. El troyano ZLoader es un descendiente del infame troyano bancario ZeuS y es conocido por el uso agresivo de documentos de Office y macros como un vector de ataque inicial, para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.
Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comienza con un correo electrónico de phishing que contiene un documento adjunto de Microsoft Word que, cuando se abre, descarga un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.
Después de descargar el archivo XLS, Word VBA lee el contenido de una celda desde el XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en una nueva funciona, como macro. Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para «Desactivar la advertencia de macro de Excel» e invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga el payload de ZLoader y la DLL es ejecutada usando rundll32.exe.
Dado el «riesgo significativo de seguridad» que plantean las macros, la función suele estar desactivada de forma predeterminada, pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario, los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.
Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación, no solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar payload. El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas del tipo Living off the lLand (LotL) para descargar sus cargas útiles.
Fuente noticia: https://www.blog.segu-info.com.ar/ Fuente foto: freepik.es