Los ciberdelincuentes utilizan un nuevo truco para deshabilitar las advertencias de seguridad de macros en archivos de Office maliciosos

Infecciones de ZLoader propagadas mediante la deshabilitación de las advertencias de archivos Office maliciosos

Es un hecho que en, prácticamente, todas las campañas de phishing que distribuyen documentos de Microsoft Office preparados para solicitar a sus víctimas que habiliten macros para desencadenar la cadena de infección directamente. Pero las nuevas investigaciones indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad antes de ejecutar el código macro. Su objetivo principal es infectar los ordenadores de las víctimas.

En otro caso más de autores de malware que continúan evolucionando sus técnicas para evadir la detección. Los investigadores de McAfee Labs tropezaron con una táctica novedosa que «descarga y ejecuta DLL maliciosos (ZLoader) sin ningún código malicioso presente en la macro inicial de adjuntos spam».

Las infecciones de ZLoader propagadas mediante este mecanismo se han informado principalmente en los EE. UU., Canadá, España, Japón y Malasia. El malware, es descendiente del infame troyano bancario ZeuS. También es conocido por el uso agresivo de documentos de Office habilitados para macros como un vector de ataque inicial para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.

¿Cómo se inició?

Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comenzó con un correo electrónico de phishing. Que contenía un documento adjunto de Microsoft Word. Que cuando se abría, descargaba un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.

«Después de descargar el archivo XLS, Word VBA lee el contenido de la celda desde XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en macros XLS VBA como funciones». Dijeron los investigadores. «Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para ‘Desactivar la advertencia de macro de Excel’. E invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga la carga útil de ZLoader. La carga útil de ZLoader es entonces ejecutado usando rundll32.exe».

Riesgo de seguridad significativo

Dado el «riesgo de seguridad significativo» que plantean las macros, la función suele estar desactivada de forma predeterminada. Pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario. Los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.

«Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación. No solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar cargas útiles». Dijeron los investigadores. «El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel. Sino que otras amenazas pueden usar otras herramientas que viven de la tierra para descargar sus cargas útiles».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.