Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Microsoft alerta de e-mails con adjuntos maliciosos en JavaScript




Microsoft ha publicado una advertencia de mensajes de spam contenían un archivo adjunto JavaScript (.js, .jse) y tratan de infectar tu ordenador con malware, como el Ransomware Locky, Los archivos adjuntos de JavaScript pueden están de nuevo "envueltos" en un archivo rar o zip, explica Alden Pornasdoro de Microsoft.





 Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.

Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.

Es interesante observar los pasos necesarios con las macros maliciosas Por lo general, son necesarios dos o más clics para abrir el documento. Un clic para el documento y, otro clic para activar la macro. Por otro lado, el anexo de JavaScript, sólo es necesario uno o dos clicks para ejecutar.



Pornasdoro añade que se hizo es muy raro que las personas envíen archivos adjuntos de JavaScript.

Estos archivos adjuntos de correo electrónico maliciosos se distribuyen a través de campañas de spam. Las campañas de spam varían desde diferentes áreas de la ingeniería social, hacen un llamamiento a la curiosidad de la gente - lo suficiente para que tomen acción y hagan clic en lo que no se debe pulsar: desde temas relacionados con las finanzas como las cuentas de recibos, facturas y bancarias, a hojas de vida y notificaciones de envío, (ejemplo aviso carta correos certificada)

Los archivos adjuntos de JavaScript están fuertemente ofuscados para evitar detecciones del software antivirus. Suele consistir en una descarga y ejecutar la función emparejado con una o dos direcciones URL que hospedan el malware.



Quién recibe un archivo así no debería abrirlo. Por lo tanto, Pornasdoro aconseja a las organizaciones usar el software AppLocker para que los archivos dudosos no se puedan abrir. Además, se aconseja a los administradores deshabilitar las macros en los programas de Office.

AppLocker


En primer lugar: ¿Qué es AppLocker? AppLocker es un conjunto de configuración de directivas de grupo no se desarrolló de directivas de restricción de software, para restringir las aplicaciones que pueden ejecutarse en una red corporativa, incluyendo la capacidad para restringir basado en el número de versión de la aplicación o el editor.


  • Haga clic en Inicio - Todos los programas - Herramientas administrativas - Administración de directivas de grupo.
  • Crear o editar objetos de directiva de grupo.
  • Expanda Configuración del equipo - Políticas - Configuración de Windows - Configuración de seguridad - Las políticas de control de aplicaciones - AppLocker.
  • En el panel derecho, haga clic en la aplicación de las reglas Configurar.



  • Normas ejecutables: .exe, .com
  • Reglas de Windows Installer: MSI, MSP
  • Normas Scripts: .ps1, .bat, .cmd, .vbs, .js 
Fuente:

¿Qué es una macro?

Una macro es un conjunto de comandos o instrucciones enviados al programa, que se ejecutan secuencialmente una tras otra. De hecho macro es la abreviatura de macroinstrucción.
Se usan para agrupar acciones repetitivas y rutinarias.

Sirven básicamente para automatizar las tareas realizadas con más frecuencia.

Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro

Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)




Desactivar Macros en Office




Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.

 En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)

 La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.




En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.



Presionar MAYÚS al abrir un archivo


Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.


La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.


¿Cómo desactivar Windows Script Host?

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.

Se puede editar el registro de Windows para desactivar WSH.

Inicio, ejecutar, Regedit

Aquí está la clave (carpeta).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings


Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".




Y después, si hace clic en un archivo .js, se verá esto:



El acceso Windows Script Host  está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.

O ejecutar el script nombre.bat

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.


Deshabilitar objetos incrustrados OLE en Office

No sólo se puede usar una Macro para infectar al usuario. También se puede utilizar un archivos maliciosos que hacen un mal uso del objeto deOffice con el uso de incrustación de objetos (OLE) para engañar a los usuarios activar y descargar contenido malicioso. Anteriormente, hemos visto macros utilizadas en cuestión semejante, y este uso de OLE podría indicar un cambio en la conducta como administradores y empresas están mitigando contra este vector de la infección con una mayor seguridad y nuevas opciones en Office.

En estos nuevos casos, estamos viendo objetos incrustados OLE y el contenido rodeadas de texto bien formateado e imágenes para animar a los usuarios para que el objeto o contenido, y así ejecutar el código malicioso. Hasta ahora, hemos visto estos archivos utilizan comandos Basic (VB) y JavaScript (JS) Visual maliciosos incrustados en un documento.




La secuencia de comandos o un objeto está rodeado de texto que anima al usuario a hacer clic o interactuar con el script (que por lo general se representa con un icono de secuencia de comandos similar). Cuando el usuario interactúa con el objeto, una advertencia indica al usuario si desea continuar o no. Si el usuario elige para proceder (haciendo clic abierto), el script malicioso se ejecuta y puede ocurrir en cualquier forma de infección.


Es importante señalar que la interacción del usuario y el consentimiento sigue siendo necesaria para ejecutar la carga maliciosa. Si el usuario no permite que el objeto o haga clic en el objeto - a continuación, el código no se ejecutará y no se producirá ninguna infección.

Por lo tanto, la educación es una parte importante de la mitigación - al igual que con los correos electrónicos de spam, sitios web sospechosos y aplicaciones no verificadas. No haga clic en el enlace, que el contenido o ejecutar el programa a menos que confíe absolutamente y pueda verificar su origen.


Para configurar los programas de Office 2007 para elegir que hacer cuando haya un objeto de empaquetador, se puede configurar una entrada den el registro PackagerPrompt en la siguiente subclave del registro:


HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Program_name\Security

Esta entrada del registro es una entrada REG_DWORD. Puede utilizar cualquiera de los valores siguientes con esta entrada del registro:

PackagerPrompt
  • 0: Por defecto, el valor de la entrada del registro PackagerPrompt se establece en 0. Cuando se utiliza este valor, no se le pide cuando un objeto de empaquetador. Este valor corresponde a la configuración del nivel de seguridad bajo de macros en Office 2003.
  • 1: Cuando se utiliza este valor, se le pedirá cuando un objeto de empaquetador. Este valor corresponde a la configuración del nivel de seguridad de macros más altos en Office 2003. Sin embargo si un documento está en una ubicación de confianza, no se le pide cuando un objeto de empaquetador.
  • 2: Cuando se utiliza este valor, objetos de empaquetador se bloquean. Es posible que desee utilizar este valor si desea impedir que todos los objetos de empaquetador se ejecute en su empresa u organización.


Fuentes:
https://blogs.technet.microsoft.com/mmpc/2016/04/18/javascript-toting-spam-emails-what-should-you-know-and-how-to-avoid-them/
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
https://blogs.technet.microsoft.com/mmpc/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.