Infecciones de ZLoader propagadas mediante la deshabilitación de las advertencias de archivos Office maliciosos

Es un hecho que en, prácticamente, todas las campañas de phishing que distribuyen documentos de Microsoft Office preparados para solicitar a sus víctimas que habiliten macros para desencadenar la cadena de infección directamente. Pero las nuevas investigaciones indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad antes de ejecutar el código macro. Su objetivo principal es infectar los ordenadores de las víctimas.

En otro caso más de autores de malware que continúan evolucionando sus técnicas para evadir la detección. Los investigadores de McAfee Labs tropezaron con una táctica novedosa que «descarga y ejecuta DLL maliciosos (ZLoader) sin ningún código malicioso presente en la macro inicial de adjuntos spam».

Las infecciones de ZLoader propagadas mediante este mecanismo se han informado principalmente en los EE. UU., Canadá, España, Japón y Malasia. El malware, es descendiente del infame troyano bancario ZeuS. También es conocido por el uso agresivo de documentos de Office habilitados para macros como un vector de ataque inicial para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.

¿Cómo se inició?

Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comenzó con un correo electrónico de phishing. Que contenía un documento adjunto de Microsoft Word. Que cuando se abría, descargaba un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.

«Después de descargar el archivo XLS, Word VBA lee el contenido de la celda desde XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en macros XLS VBA como funciones». Dijeron los investigadores. «Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para ‘Desactivar la advertencia de macro de Excel’. E invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga la carga útil de ZLoader. La carga útil de ZLoader es entonces ejecutado usando rundll32.exe».

Riesgo de seguridad significativo

Dado el «riesgo de seguridad significativo» que plantean las macros, la función suele estar desactivada de forma predeterminada. Pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario. Los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.

«Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación. No solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar cargas útiles». Dijeron los investigadores. «El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel. Sino que otras amenazas pueden usar otras herramientas que viven de la tierra para descargar sus cargas útiles».