Investigación

Cibercriminales alrededor del mundo adoptan documentos ofuscados de Office

Después de haber quedado en el olvido por algunos años, las macros maliciosas de archivos de Office están volviendo a ponerse de moda. Y no es de sorprenderse, después de todo son mucho más baratas que los exploits y pueden hacer lo mismo.

¡Así es! los cibercriminales están ocupados reciclando esta vieja técnica y experimentando con nuevas formas de ofuscación para hacerla más efectiva. Veamos dos ejemplos.

Muestra 1

Es un archivo Excel con macros maliciosas integradas. Pero si utilizas herramientas comunes de Office para analizarlas, no encontrarás nada malicioso:

Eso se debe a que, en la muestra, todas las macros se ofuscan con una técnica de codificación base64.

Al deshacer la ofuscación, puedes ver con claridad las URLs que se usaron para descargar las cargas nocivas.

Esta es una técnica muy simple pero efectiva contra los métodos de detección heurísticos sencillos que analizan las cadenas de caracteres de los archivos adjuntos a los correos electrónicos. Su éxito se refleja en su baja detección en Virus Total: https://www.virustotal.com/en/file/c916540dcab796e7c034bfd948c54d9b87665c62334d8fea8d3724d9bcfc9/analysis/1403955807/ .

Esta muestra en particular también es interesante puesto que algunas versiones de Excel pueden ejecutar macros de forma automática, sin solicitar permiso al usuario. Cuando se ejecuta, descarga un troyano ladrón de contraseñas en el sistema de la víctima.

Muestra 2

Este ejemplo es un boleto falso de Aeromexico.

En este caso no hay ofuscación, pero la URL se escribe de derecha a izquierda, lo que una vez más podría ser muy útil contra las técnicas de análisis GREP simples.

Es interesante mencionar que la primera muestra se encontró en Venezuela, la segunda en México y la tercera en Brasil:

Este ejemplar descarga un troyano bancario ChePro. Las tres muestras sólo descargan Troyanos que roban datos financieros, pero la misma técnica se puede utilizar para infectar el sistema con cualquier otro tipo de programa malicioso.

¿Será que sólo los cibercriminales latinoamericanos utilizan esta técnica? No, no es así. Las estadísticas de nuestros usuarios relacionados muestran que en realidad el país al que más se ha tratado de infectar con esta amenaza es Alemania, seguido de Polonia.

Pero la técnica también se usa en otros lugares, incluyendo España, México y Brasil.

Si prestas más atención a los archivos de Office con macros, podrás notar que un usuario crea el documento original y alguien más (otro criminal) ayuda a incorporar las macros maliciosas.

La misma técnica se puede utilizar sin problemas para propagar cualquier tipo de programa malicioso en cualquier país, puesto que se trata de ingeniería social y burlará las barreras de seguridad sin problemas porque es, en esencia, un documento de Office, y las políticas de seguridad de correos electrónicos los permiten.

Sígueme en twitter: @dimitribest

Cibercriminales alrededor del mundo adoptan documentos ofuscados de Office

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada