News

Golpe de hackers latinoamericanos (Parte 3: infección por archivos de Office)

Malicioso documento de Microsoft Office con macros habilitadas

El último elemento interesante que descubrimos en el mismo servidor pirata malicioso  es un documento .docm (un documento con macros habilitadas según los parámetros de Microsoft Office). 
 

208216048

Se trata de un archivo malicioso que al abrirse muestra a su víctima el siguiente contenido:
 

208216049

si las macros están habilitadas y la víctima pulsa en el mensaje para supuestamente descargar un mensaje MMS, se instalarán dos programas maliciosos en su equipo.

La parte maliciosa del documento

La parte maliciosa del documento se encuentra en 0x00000f14 offset, tiene un tamaño de 18.944 bytes y se llama “vbaProject.bin”. 

208216050

Cuando se extrae del principal archivo .docm, posee dos URLs diferentes que descargan dos programas maliciosos distintos. Cada imagen en el archivo con macros habilitadas descarga distintos programas maliciosos cuando la víctima lo pulsa. 
El primer programa malicioso se descarga desde el mismo servidor malicioso localizado en Panamá, y el segundo desde la nube Dropbox. 
 

208216051

208216052

Kaspersky Anti-Virus detecta ambos programas maliciosos como parte de la familia Trojan.MSIL.Agent. 

¿Qué es lo interesante aquí?

Si observamos la imagen del documento arriba, veremos que el contenido del documento está en español; sin embargo, el idioma que se usa para editar el documento es turco. Los metadatos del archivo también confirman que se compiló en un equipo en el que figura como autor un tal "İlyasÖzdoğan”. 
 

208216053

Resulta interesante que uno de los MSIL.Agents maliciosos descargados también tiene el mismo nombre de usuario bajo la ruta fuente dentro del binario compilado:

c:usersİlyasÖzdoğandocumentsvisual studio 2012projectswindowsformsapplication13windowsformsapplication13objdebugwindowsformsapplication13.pdb

¿Qué significa esto? Significa que los ciberdelincuentes latinoamericanos no sólo tienen vínculos con sus pares de Europa oriental, sino también con sus colegas turcos.
Algunos de los modernos ciberdelincuentes más avanzados utilizan exploits para infectar los equipos que capturan, pero al ver este ejemplo, puede que esta técnica sea una “pérdida de dinero” ya que los viejos trucos aún funcionan. Si no me crees, sólo observa cómo el 10 de enero, cuando el archivo se envió por primera vez a VirusTotal, registró 0 de 48 detecciones, y al momento de escribir este artículo, sólo 2 de cada 50 soluciones antivirus lograron detectar este programa malicioso:

208216054

Golpe de hackers latinoamericanos (Parte 3: infección por archivos de Office)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada