Un nuevo virus ataca a Windows y macOS

Los investigadores de Fortinet descubrieron un documento Word con un código de VBA nocivo, capaz de cargar un virus específico tanto en Mac OS X, como en Windows.

Al igual que muchas trampas similares, al abrirse este archivo trata de hacer que el usuario active el macro. Si el usuario sigue este consejo, se ejecutará el código VBA y se hará una llamada automática a AutoOpen (). Esta función lee la propiedad Comments del documento, que está cifrada con base64. Se trata de un script en Python-script que funciona de manera diferente en Windows y en Mac OS X.

Como Python ya viene instalado en Mac OS X, estos scripts se ejecutan de forma predeterminada. En consecuencia el esquema del contagio es recto: el script integrado descarga desde un servidor externo un archivo (también un script Python) que al ejecutarse intenta conectarse con el servidor de los atacantes. Según los investigadores, el script descargable es una versión modificada de la carga meterpreter añadida al Framework Metasploit en noviembre de 2015.

Meterpreter es un componente extensible que utiliza una técnica de inyección dll escalonada, que se efectúa desde la memoria. Este instrumento es de uso general durante las pruebas de penetración, pero también la utilizan varios grupos delictivos, como GCMAN y la agrupación recientemente identificada por Kaspersky Lab, que también opera con un malware “sin cuerpo”.

En Windows, el método que se usa para ejecutar el exploit es más complejo. Aquí, se usa base64 para extraer un script Powershell, que desempaqueta otra parte del código que a su vez libera otro script Powershell. La ejecución de este último implica la descarga desde Internet de un archivo dll de 64 bits que puede comunicarse con su servidor. El análisis mostró que este esquema sólo está dirigido a las versiones de 64 bits de Windows.

No es difícil suponer cómo se propaga este malware, pero los objetivos de sus dueños aún no están claros. En el comentario que hizo a Threatpost, el gerente general de FortiGuard para el desarrollo de servicios y la investigación de seguridad informática, Peixue Li, afirmó que durante las pruebas realizadas con un ejemplar del malware, observaron intentos de abrir una sesión TCP tanto en Windows como en Mac OS X, pero el servidor atacante nunca respondió. Wireshark registró cada vez un error de conexión TCP.

Los macro maliciosos para MacOS ya no son noticia, a pesar de que empezaron a aparecer hace relativamente poco tiempo. Por ejemplo, en febrero los investigadores de Synack publicaron un descubrimiento similar, pero en aquel caso, los macros maliciosos se ejecutaban solo en computadoras Mac. Al activarse, descifraba los datos y los ejecutaba un script Python prestado de otro proyecto, Empyre. En la conversación con los periodistas de Threatpost, Li enfatizó la diferencia: “El malware que analizamos está atacando tanto a Mac OS como a Windows… El agente Python utilizado por el malware después del exploit es otro. Allí, es EmPyre; aquí, Meterpreter. Es posible que los programas maliciosos para diversas plataformas basados en un código de macro se conviertan en una tendencia”.

Fuentes: Threatpost