Nueva técnica sin macros para distribuir malware

Publicado: 2 de julio de 2018 por 
Última actualización: 3 de julio de 2018

Uno de los vectores de infección más comunes y efectivos, especialmente para empresas, es el uso de documentos maliciosos de Office. Solo este año, fuimos testigos de dos días cero para Flash y el motor de VBScript , que primero se incorporaron a los documentos de Office antes de obtener una adopción más amplia en los kits de exploits web.

Además de aprovechar vulnerabilidades de software, los atacantes abusan regularmente de las características normales de Office, como macros, o de otras más oscuras como  Dynamic Data Exchange (DDE) y, por supuesto, ataques de enlace e incrustación de objetos (OLE), que también pueden combinarse con exploits . Los administradores del sistema pueden endurecer los puntos finales mediante la desactivación de ciertas funciones en toda la empresa, por ejemplo, para frustrar ciertos esquemas de ingeniería social que intentan engañar a los usuarios para que habiliten una macro maliciosa. En versiones recientes de Office , Microsoft también está bloqueando la activación de objetos considerados de alto riesgo, según una lista de extensiones que se pueden personalizar a través de la Política de grupo.

Pero un descubrimiento reciente del investigador de seguridad Matt Nelson , muestra que se puede aprovechar otro vector de infección, uno que elude la configuración de protección actual e incluso la nueva  tecnología de Reducción de Superficie de Ataque de Microsoft  . Al incrustar un archivo de configuración especialmente diseñado en un documento de Office, un atacante puede engañar a un usuario para que ejecute código malicioso sin más advertencias o notificaciones.

El formato de archivo, específico para Windows 10 llamado .SettingContent.ms , es esencialmente código XML que se utiliza para crear accesos directos al Panel de control. Esta característica se puede abusar porque uno de sus elementos (DeepLink) permite ejecutar cualquier binario con parámetros. Todo lo que un atacante debe hacer es agregar su propio comando usando Powershell.exe o Cmd.exe. Y el resto es historia.

Un nuevo script encontrado por Nick Carr muestra un ataque en el que se invoca PowerShell para descargar y ejecutar REMCOS RAT ( informe VT ). Según Matt Nelson , quien descubrió esta nueva técnica, Microsoft no va a solucionarlo, al menos por el momento.

Probamos esta muestra en nuestro laboratorio y nos complace informar que los usuarios de Malwarebytes ya están protegidos:

Durante los últimos años, aunque ha habido poco desarrollo con kits de exploits web , ha habido mucha actividad con kits de explotación de documentos como Microsoft Word Intruder (MWI) o Threadkit . Estos kits de herramientas permiten a los atacantes crear señuelos e incrustar los exploits de su elección antes de lanzar phishing a sus víctimas o enviar el archivo a través de campañas de spam más grandes. Al mismo tiempo, parece que los ataques clásicos de ingeniería social no van a ir a ningún lado pronto y seguirán aprovechando el elemento humano.

Es importante que los usuarios finales y las empresas reconozcan que los documentos son un vector ideal de entrega de malware y requieren una protección y capacitación adecuadas para luchar contra ellos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.