Después de haber quedado en el olvido por algunos años, las macros maliciosas de archivos de Office están volviendo a ponerse de moda. Y no es de sorprenderse, después de todo son mucho más baratas que los exploits y pueden hacer lo mismo.
¡Así es! los cibercriminales están ocupados reciclando esta vieja técnica y experimentando con nuevas formas de ofuscación para hacerla más efectiva. Veamos dos ejemplos.
Muestra 1
Es un archivo Excel con macros maliciosas integradas. Pero si utilizas herramientas comunes de Office para analizarlas, no encontrarás nada malicioso:
Eso se debe a que, en la muestra, todas las macros se ofuscan con una técnica de codificación base64.
Al deshacer la ofuscación, puedes ver con claridad las URLs que se usaron para descargar las cargas nocivas.
Esta es una técnica muy simple pero efectiva contra los métodos de detección heurísticos sencillos que analizan las cadenas de caracteres de los archivos adjuntos a los correos electrónicos. Su éxito se refleja en su baja detección en Virus Total: https://www.virustotal.com/en/file/c916540dcab796e7c034bfd948c54d9b87665c62334d8fea8d3724d9bcfc9/analysis/1403955807/ .
Esta muestra en particular también es interesante puesto que algunas versiones de Excel pueden ejecutar macros de forma automática, sin solicitar permiso al usuario. Cuando se ejecuta, descarga un troyano ladrón de contraseñas en el sistema de la víctima.
Muestra 2
Este ejemplo es un boleto falso de Aeromexico.
En este caso no hay ofuscación, pero la URL se escribe de derecha a izquierda, lo que una vez más podría ser muy útil contra las técnicas de análisis GREP simples.
Es interesante mencionar que la primera muestra se encontró en Venezuela, la segunda en México y la tercera en Brasil:
Este ejemplar descarga un troyano bancario ChePro. Las tres muestras sólo descargan Troyanos que roban datos financieros, pero la misma técnica se puede utilizar para infectar el sistema con cualquier otro tipo de programa malicioso.
¿Será que sólo los cibercriminales latinoamericanos utilizan esta técnica? No, no es así. Las estadísticas de nuestros usuarios relacionados muestran que en realidad el país al que más se ha tratado de infectar con esta amenaza es Alemania, seguido de Polonia.
Pero la técnica también se usa en otros lugares, incluyendo España, México y Brasil.
Si prestas más atención a los archivos de Office con macros, podrás notar que un usuario crea el documento original y alguien más (otro criminal) ayuda a incorporar las macros maliciosas.
La misma técnica se puede utilizar sin problemas para propagar cualquier tipo de programa malicioso en cualquier país, puesto que se trata de ingeniería social y burlará las barreras de seguridad sin problemas porque es, en esencia, un documento de Office, y las políticas de seguridad de correos electrónicos los permiten.
Sígueme en twitter: @dimitribest
Cibercriminales alrededor del mundo adoptan documentos ofuscados de Office