Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
julio
(Total:
52
)
- Las 30 vulnerabilidades más explotadas en 2020 y 2021
- Dos mujeres hackearon cajeros automáticos con una ...
- La Unión Europea impone multa récord a Amazon con ...
- Dos detenidos por acosar a niñas menores a través ...
- Contratistas de defensa de E.U. fueron engañados p...
- BlackMatter y LockBit 2.0: novedades en el mundo d...
- Supuesta filtración 4 billones de teléfonos de Clu...
- Vulnerabilidades en el router de fibra HGU Askey d...
- Actualizaciones de seguridad de Apple para iOS, iP...
- Diferencias GPUs NVIDIA RTX vs GTX
- Clonar Disco Duro HDD o Unidad SSD con CloneZilla
- Nuevo ataque PetitPotam permite hackear dominios d...
- Quién es Shalev Hulio, el militar responsable de P...
- El 97% de los emails que usan los funcionarios Esp...
- DuckDuckGo presenta "Email Protection", un servici...
- Detenido en Estepona responsable hackear más de 1...
- Grave vulnerabilidad local kernel sistema de fiche...
- Nueva vulnerabilidad en Windows permite elevación ...
- WhatsApp permitirá activar el cifrado de la copia ...
- Estados Unidos acusa formalmente a 4 ciudadanos Ch...
- Análisis forense víctimas de Pegasus del grupo NSO...
- Grave vulnerabilidad ejecución remota de código en...
- ASIC para minar criptomonedas
- Las 3.800 PS4 confiscadas en Ucrania no minaban cr...
- Microsoft revela que ciudadanos en Cataluña han si...
- Hackean las cuentas de Twitter y Facebook de La Se...
- Steam Deck: Valve presenta consola portátil para j...
- Documentos maliciosos Excel 4.0 XLM Macros
- Detenidas en España 16 personas por estafar 3,5 mi...
- Actualizaciones de seguridad productos Microsoft, ...
- Gmail quiere acabar con el phishing gracias al BIMI
- Intervenido en Málaga un dron de 4,35 metros de en...
- Mozilla VPN ya está disponible en España
- Fallo de seguridad en la web Vacunación Covid de C...
- Herramientas Endpoint Detection and Response EDR
- Alternativas correo Gmail basadas en la privacidad
- Descubren a un conductor de contrabando con 256 CP...
- ChatControl: El Parlamento Europeo aprueba la vigi...
- Parche incompleto de Microsoft para PrintNightmare...
- Error en la web de Sanidad Madrid expone datos pri...
- Descubren miles de Bases de Datos desprotegidas en...
- Cifrado por hardware unidades SSD (SED)
- Ingeniero de Microsoft consiguió robar 10 millones...
- WhatsApp ya permite enviar fotografías y vídeos qu...
- Descubren 9 aplicaciones Android que roban credenc...
- Ciberataque global del ransomware REvil afecta a m...
- Publicada herramienta descifrado gratuita para víc...
- Europol cierra servicio de VPN DoubleVPN utilizado...
- Operadores de Telefonía añaden enlaces publicidad ...
- 30 millones ordenadores Dell vulnerables por culpa...
- Grupo MASMOVIL España hackeado por el ransomware d...
- Grave vulnerabilidad en el servicio de impresión d...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Documentos maliciosos Excel 4.0 XLM Macros
Si bien es habitual para las campañas de malspam, mal llamadas de phishing. que distribuyen documentos de Microsoft Office armados para solicitar a las víctimas que habiliten macros para desencadenar la cadena de infección los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad, antes de ejecutar la macro para infectar a las víctimas.
Nuevo truco para deshabilitar las advertencias de seguridad de macros en archivos de Office maliciosos
Malware ZLoader - Campaña activa en España
Investigadores de McAfee Labs encontraron una táctica novedosa que descarga y ejecuta una DLL maliciosos sin ningún código malicioso presente en la macro inicial que se distribuye mediante spam. El troyano ZLoader es un descendiente del infame troyano bancario ZeuS y es conocido por el uso agresivo de documentos de Office y macros como un vector de ataque inicial, para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.
Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comienza con un correo electrónico de phishing que contiene un documento adjunto de Microsoft Word que, cuando se abre, descarga un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.
Después de descargar el archivo XLS, Word VBA lee el contenido de una celda desde el XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en una nueva funciona, como macro. Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para "Desactivar la advertencia de macro de Excel" e invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga el payload de ZLoader y la DLL es ejecutada usando rundll32.exe.
Dado el "riesgo significativo de seguridad" que plantean las macros, la función suele estar desactivada de forma predeterminada, pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario, los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.
Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación, no solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar payload. El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas del tipo Living off the lLand (LotL) para descargar sus cargas útiles.
Maldoc: Macros Excel 4.0
Si está abierto, se le pedirá a los destinos que «habiliten el contenido» para ver el mensaje. Habilitar el contenido permite que se ejecuten las fórmulas macro integradas de Excel 4.
«.XLSM admite la incrustación de fórmulas macro de Excel 4.0 utilizadas en las celdas de la hoja de cálculo de Excel», según un análisis publicado el miércoles. «Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento». Las URL generalmente pertenecen a sitios web legítimos pero pirateados, agregaron.
Al profundizar en la actividad, pudieron ver similitudes entre todos los ataques, lo que sugiere una campaña coordinada. Por ejemplo, todos los documentos recibieron nombres básicos relacionados con el negocio, como «caducado», «reclamo» o «reclamo y reclamo», junto con una serie aleatoria de números. Además, todas las solicitudes HTTP entregaron un archivo ejecutable de segunda etapa (un archivo .EXE o .DLL), ofuscado con una extensión falsa: .DAT, .GIF o .JPG.
De hecho, los archivos eran las familias de malware IcedID o QakBot.
Desde la perspectiva de la detección de evasiones, las macros también utilizaron tres técnicas para permanecer ocultas: «Después de una investigación, identificamos tres técnicas interesantes que se utilizan para dificultar el análisis», anotaron los investigadores. "Ocultar fórmulas macro en tres hojas diferentes; enmascare la fórmula macro con un carácter blanco sobre un fondo blanco; y reducir el contenido de la celda y hacer invisible el contenido original. «
XLMMacroDeobfuscator es una herramienta para extraer y desofuscar macros XLM - Documentos maliciosos Macros de Excel 4.0 . Técnica utilizada campañas de malware como Trickbot y Qakbot
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.