Desde hace algunos años las técnicas usadas por los desarrolladores de malware se han enfocado en evadir los mecanismos de detección, encontrando que los macros ofuscados y el uso de herramientas propias de Windows es un mecanismo efectivo para cumplir sus objetivos, incluso si usan formatos antiguos de los documentos de ofimática.
Una de las campañas de malware que más ha explotado la técnica de los macros antiguos y ofuscados (algunos simplemente ocultos) es Emotet, llamado como un rey del antiguo Egipto, desde el 2014 se ha convertido en el trojano bancario más temido, con un pico de incidentes muy fuerte en 2019.
Pero durante las últimas semanas McAfee Labs publico una nueva técnica de infección que no solo usa los macros de Office como su principal herramienta al inicio del ataque, si no que la complementa con la descarga de DLL’s maliciosas y que en lo que llevamos de 2021 ha afectado principalmente a España, Canadá y Estados Unidos, la cual ha sido considerada como el regreso de una variante del malware bancario Zloader, que apareció por primera vez en 2006 como una variante del troyano bancario Zeus.
Analizando el flujo de la amenaza detectada vemos que el vector inicial del ataque es a través de un correo electrónico que trae adjunto un archivo de Microsoft Word, que descarga un Microsoft Excel protegido con contraseña desde un servidor remoto. Con los dos documentos en la maquina inicia una interacción programada con los macros de VBA en ambos archivos y modifican algunas políticas del registry, para evitar las alertas al ejecutar los macros dinámicos desde el excel, paras así descargar finalmente el ejecutable Zloader que contiene una DLL maliciosa.
Este es el típico comportamiento que hemos descrito en los ataques de tipo Fileless y que se han buscado prevenir con la creación de DIARIO, para detectar en el primer paso del flujo de la amenaza el contenido malicioso de esas macros respetando la privacidad de los documentos. Para este caso no es la excepción que se pueda usar, pues el hash que aparece como IoC principal es el documento de Word con el que inicia el ataque, que es 210f12d1282e90aadb532e7e891cbe4f089ef4f3ec0568dc459fb5d546c95eaf y que como se puede apreciar en la respuesta web.
Ya lo detectamos como malicioso, debido a que las 5 macros contienen procesos maliciosos y donde al revisarlos en nuestra herramienta, se puede ver como claramente en uno de estos esta cargado el momento donde se crear abre el Excel con la contraseña desde el Word.
Y como desde la otra macro se crea la URL de descarga para este mismo archivo.
En el área de innovación se diseñó DIARIO pensando en que la forma más efectiva para las detecciones de código malicioso de este tipo es el uso del Machine Learning, por lo que cualquier otro documento que contenga alguna variante del proceso malicioso de esta detección, será inmediatamente reconocido y marcado como un documento malicioso.
Si los usuarios tuvieran el entrenamiento y concienciación suficientes para analizar cada uno de los archivos adjuntos que llegan a su correo, tener una herramienta como DIARIO dentro del cliente de Outlook, les permite mitigar el riesgo de este tipo de ataques y contrarrestar la amenaza desde el primer paso del flujo de ataque.
The post Nueva amenaza, viejas técnicas appeared first on Think Big.