Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Virus usando Macros en ficheros XML maliciosos




Los archivos XML son ficheros de texto totalmente inofensivos ¿no? ¡Falso! Un nuevo grupo está detrás de las campañas con documentos maliciosos de Microsoft Office que han comenzado a utilizar Microsoft Office con documentos XML para ocultar macros maliciosos. Esta semana, nuevas nuestras trampas de spam inundaron con archivos adjuntos XML que afirman ser un "aviso de pago" de las empresas al azar.






Los virus de macro tuvieron su época dorada hace ya más de 10 años (finales de los 90 y principios de los 2000). Quizás uno de los más recordado por todos sea el famoso "Love Letter" (Año 2000)

 VBS.LoveLetter

Un gusano escrito en Visual Basic Script infectó a miles de ordenadores a través del correo electrónico y el IRC. El mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs

Los Macros permiten a los usuarios automatizar varias tareas y fueron utilizados años atrás a gran escala por el malware.

Debido a los riesgos de seguridad, Microsoft decidió, por lo tanto, pasar a bloquear las macros de forma predeterminada en Office 2010

Los Virus de Macro no son nuevos

Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro WordMacro / DMV apareció hace ya 20 años. WordMacro / DMV fue el primer virus de macro de Word escrito en 1994 por una persona llamada Joel McNamara con el fin de estudiar el comportamiento de los virus de macro.

El estudio realizado por el Sr. McNamara se mantuvo en secreto hasta WordMacro / Concept apareció en la naturaleza alrededor de 1995.

WordMacro / Concept fue escrito en el lenguaje de macros 6.x de Microsoft Word Wordbasic y fue el primer virus multi-medio ambiente, ya que era capaz de propagarse en Windows y MacOS través de Microsoft Word.

Como la mayoría de los virus de macro que surgieron después, WordMacro / Concept intentó infectar NORMAL.DOT la plantilla de Word para que el virus podría propagarse a través de los documentos nuevos.

Con el fin de establecer un desarrollo macro unificado en todas las aplicaciones de Office, el intérprete de WordBasic en Word 97 se reemplazó con VBA (Visual Basic para Aplicaciones), que ya existía en Excel 5.0. VBA es un lenguaje de programación y entorno de desarrollo que hace que sea fácil de definir la aplicación y nivel de documento eventos que se pueden manejar en una macro. Pero estos eventos también permiten que los virus que se activarán en acciones específicas, por ejemplo, cuando la aplicación está abierta o cerrada, por ejemplo.

El propósito de las macros es automatizar ciertas tareas repetitivas pero macros también pueden acceder a la VBA shell de comandos para ejecutar comandos y programas arbitrarios. Pero también podrían utilizar el comando KILL VBA para eliminar archivos en su disco duro.

Las macros pueden utilizar funciones como AutoExec o AutoOpen para ejecutarse automáticamente cada vez que abra un documento.

Uno de los virus de macro más conocidos es Melissa. Creado en 1999, el virus se distribuye como un documento de Word que contiene un virus de macro. Cuando se abre con Word 97 o Word 2000, la macro se ejecutaría, recoger las primeras 50 entradas en la libreta de direcciones del usuario y utilizar Microsoft Outlook para propagarse a través de correo electrónico.

Melissa puede infectar Windows 95, 98, NT y los usuarios de Macintosh. Si la máquina infectada no tiene Outlook o acceso a Internet en todo, el virus seguirá propagándose a nivel local dentro propios documentos del usuario.

Microsoft ha recorrido un largo camino desde los primeros virus de macro y las versiones modernas de hoy en día el Office deshabilita todas las macros de forma predeterminada.

Nuevos Virus Macro en ficheros XML y Word (doc y docx)


Los cibercriminales siempre han utilizaado para extenderse algunos macros en los documentos con malware, pero ahora también hay ataques observados con archivos XML. Los Macros permiten a los usuarios automatizar varias tareas y fueron utilizados años atrás a gran escala por el malware.

Debido a los riesgos de seguridad, Microsoft decidió, por lo tanto, pasar a bloquear las macros de forma predeterminada en Office. Hace un año, aparecieron más y más documentos .doc y .xls que contienen macros se esconden. Los usuarios de documentos fueron convocados a habilitar las macros. Una vez que el usuario el interruptor de macro se descarga e instala ejemplo de malware en el fondo. Una táctica que parece tener éxito, ya que el principio de este año, Microsoft ya dio una advertencia de macro de malware. Ahora advierte la empresa de seguridad Trustwave para un nuevo ataque en el que se utilizan macros maliciosos a través de archivos XML.








XML significa Extensible Markup Language y estos formatos basados en XML se han convertido en el estándar para diversas herramientas de oficina, incluyendo Microsoft Office. Cuando un usuario carga el archivo XML y aparecerá nuevamente indicando que las macros deben estar habilitadas. Después de cambiar un script malicioso se ejecuta que descarga e instala un troyano. Es la Dridex troyano bancario, malware específicamente diseñado para robar dinero de cuentas bancarias en línea. El Internet Storm Center (ISC) ofrece a las organizaciones consejos sobre cómo este tipo de archivos XML se puede filtrar.

Detectar Virus de Macro en ficheros XML

La secuencia de comandos macro VBA se ofusca y, para no hacer el cuento largo, se descarga un troyano que roba información conocida como Dridex.

Es onsiderarlo como el sucesor del troyano bancario Cridex, ya conocido desde hace unos años. Tanto Cridex y Dridex están destinados al robo de información personal, especialmente datos bancarios.

SANS Institute proporciona algunos buenos consejos sobre cómo bloquear este tipo de correo electrónico malicioso en su puerta de entrada de correo electrónico; comprobar si el archivo XML adjunto es un documento de Word de Office y si el atributo w: macrosPresent = "yes" está presente.

w: macrosPresent = "yes"

Atención: mucho cuidado con habilitar documento con Macros.


Security Warning: Macros has been disabled : Enable Content

Podemos usar algunas herramientas para detectar y analizar virus de Macros:



El nuevo formato de archivo introducido con Office 2007  ya no permite que los documentos estándar guardados con el sufijo "x" (.docx, .xlsx, .pptx y) contengan macros. Sólo se permiten los documentos que terminan con el sufijo "m" tengan macros.

Si tu empresa no depende de macros para hacer cosas más "poderosas" con Office, yo recomendaría que VBA se elimine por completo. VBA es una parte componente opcional de las Funciones compartidas de Office. VBA se puede eliminar mediante el establecimiento de la función de "no disponible".



Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.

 En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)

 La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.




En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.



Presionar MAYÚS al abrir un archivo


Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.

Fuentes:
http://stopmalvertising.com/malware-reports/macro-viruses-a-blast-from-the-past.html
https://www.trustwave.com/Resources/SpiderLabs-Blog/Attackers-concealing-malicious-macros-in-XML-files/
http://www.kahusecurity.com/2015/malicious-word-macro-caught-using-sneaky-trick/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.