Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Documentos maliciosos Excel 4.0 XLM Macros


Si bien es habitual  para las campañas de malspam, mal llamadas de phishing. que distribuyen documentos de Microsoft Office armados para solicitar a las víctimas que habiliten macros para desencadenar la cadena de infección  los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad, antes de ejecutar la macro para infectar a las víctimas. 


Nuevo truco para deshabilitar las advertencias de seguridad de macros en archivos de Office maliciosos 

Malware ZLoader - Campaña activa en España



Investigadores de McAfee Labs encontraron una táctica novedosa que descarga y ejecuta una DLL maliciosos sin ningún código malicioso presente en la macro inicial que se distribuye mediante spam. El troyano ZLoader es un descendiente del infame troyano bancario ZeuS y es conocido por el uso agresivo de documentos de Office y macros como un vector de ataque inicial, para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.

Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comienza con un correo electrónico de phishing que contiene un documento adjunto de Microsoft Word que, cuando se abre, descarga un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.

Después de descargar el archivo XLS, Word VBA lee el contenido de una celda desde el XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en una nueva funciona, como macro. Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para "Desactivar la advertencia de macro de Excel" e invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga el payload de ZLoader y la DLL es ejecutada usando rundll32.exe

   Dado el "riesgo significativo de seguridad" que plantean las macros, la función suele estar desactivada de forma predeterminada, pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario, los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.

Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación, no solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar payload. El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas del tipo Living off the lLand (LotL) para descargar sus cargas útiles. 

Maldoc: Macros Excel 4.0

Si está abierto, se le pedirá a los destinos que «habiliten el contenido» para ver el mensaje. Habilitar el contenido permite que se ejecuten las fórmulas macro integradas de Excel 4.

«.XLSM admite la incrustación de fórmulas macro de Excel 4.0 utilizadas en las celdas de la hoja de cálculo de Excel», según un análisis publicado el miércoles. «Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento». Las URL generalmente pertenecen a sitios web legítimos pero pirateados, agregaron.

Al profundizar en la actividad, pudieron ver similitudes entre todos los ataques, lo que sugiere una campaña coordinada. Por ejemplo, todos los documentos recibieron nombres básicos relacionados con el negocio, como «caducado», «reclamo» o «reclamo y reclamo», junto con una serie aleatoria de números. Además, todas las solicitudes HTTP entregaron un archivo ejecutable de segunda etapa (un archivo .EXE o .DLL), ofuscado con una extensión falsa: .DAT, .GIF o .JPG.



De hecho, los archivos eran las familias de malware IcedID o QakBot.

Desde la perspectiva de la detección de evasiones, las macros también utilizaron tres técnicas para permanecer ocultas: «Después de una investigación, identificamos tres técnicas interesantes que se utilizan para dificultar el análisis», anotaron los investigadores. "Ocultar fórmulas macro en tres hojas diferentes; enmascare la fórmula macro con un carácter blanco sobre un fondo blanco; y reducir el contenido de la celda y hacer invisible el contenido original. «

XLMMacroDeobfuscator es una herramienta para extraer y desofuscar macros XLM  - Documentos maliciosos Macros de Excel 4.0 . Técnica utilizada campañas de malware como Trickbot y Qakbot


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.