Si bien es habitual que las campañas de phishing que distribuyen documentos de Microsoft Office armados pidan a las víctimas que activen las macros para desencadenar la cadena de infección directamente, los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para desactivar las advertencias de seguridad antes de ejecutar el código de las macros para infectar los ordenadores de las víctimas.
En otro caso en el que los autores de malware siguen evolucionando sus técnicas para eludir la detección, los investigadores de McAfee Labs se toparon con una táctica novedosa que «descarga y ejecuta DLLs maliciosos (ZLoader) sin ningún código malicioso presente en la macro inicial adjunta al spam».
Las infecciones de ZLoader que se propagan mediante este mecanismo se han registrado principalmente en Estados Unidos, Canadá, España, Japón y Malasia, señaló la empresa de ciberseguridad. El malware, descendiente del infame troyano bancario ZeuS, es bien conocido por utilizar agresivamente documentos de Office con macros como vector de ataque inicial para robar credenciales e información personal identificable de los usuarios de las instituciones financieras objetivo.
Al investigar las intrusiones, los investigadores descubrieron que la cadena de infección comenzaba con un correo electrónico de phishing que contenía un documento adjunto de Microsoft Word que, al abrirse, descargaba un archivo de Microsoft Excel protegido por contraseña desde un servidor remoto. Sin embargo, hay que tener en cuenta que las macros deben estar activadas en el documento de Word para activar la descarga.
«Después de descargar el archivo XLS, el VBA de Word lee el contenido de las celdas del XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de las celdas en las macros VBA del XLS como funciones», dijeron los investigadores. «Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro como ‘Desactivar la advertencia de macros de Excel’ e invoca la función de la macro maliciosa desde el archivo de Excel. El archivo de Excel descarga ahora la carga útil de ZLoader. La carga útil de ZLoader se ejecuta entonces mediante rundll32.exe».
Dado el «importante riesgo para la seguridad» que suponen las macros, la función suele estar desactivada por defecto, pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de las amenazas elaboran señuelos de ingeniería social convincentes para engañar a las víctimas y hacer que las activen. Al desactivar la advertencia de seguridad que se presenta al usuario, los ataques son notables por los pasos que da para frustrar la detección y permanecer bajo el radar.
«Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han ido evolucionando sus técnicas de infección y ofuscación, no limitándose a la descarga directa de la carga útil desde VBA, sino creando agentes de forma dinámica para descargar las cargas útiles», señalan los investigadores. «El uso de este tipo de agentes en la cadena de infección no se limita a Word o Excel, sino que otras amenazas pueden utilizar otras herramientas que viven de la tierra para descargar sus cargas útiles».
Espero que les haya gustado la noticia, no olviden de compartir en las redes sociales.
