Los archivos adjuntos de spam de Microsoft Word sin macros infectan a los usuarios con malware

MisceláneaDec 19, 2021

Los archivos adjuntos de documentos de Word que propagan malware ya no solicitan habilitar macros

Los ataques de spam sin macros ya están en uso

Durante muchos años, el correo electrónico no deseado con archivos adjuntos maliciosos es el método que ejecutó el 93% del malware.[1] durante los últimos años. A juzgar por las últimas noticias de Trustwave SpiderLabs[2] investigadores, parece que la diseminación de malware, principalmente troyanos, spyware, keyloggers, gusanos, y Ransomware, dependerá además de cuántos archivos adjuntos de correo electrónico maliciosos vaya a abrir la gente. Sin embargo, los piratas informáticos introducirán un cambio importante: a partir de ahora, las personas pueden recibir spam. con archivos adjuntos maliciosos de documentos de Word, Excel o PowerPoint sin el requisito de ejecutar macros texto. Si el malware anterior se ejecutó solo cuando la víctima potencial habilitó Macros,[3] ahora se activará con solo hacer doble clic en un archivo adjunto de correo electrónico.

La técnica sin macros ya está en uso

Aunque los investigadores lograron detectarlo solo a principios de febrero, parece que el La tecnología sin macros se ha lanzado demasiado antes y es posible que las víctimas potenciales ya lo hayan hecho. los recibió.

Esta nueva campaña de spam sin macros utiliza archivos adjuntos maliciosos de Word que activan la infección de cuatro etapas, que explota la Vulnerabilidad del Editor de ecuaciones de Office (CVE-2017-11882) para obtener la ejecución de código del correo electrónico, FTP y navegadores. Microsoft ya había parcheado la vulnerabilidad CVE-2017-11882 el año pasado, pero muchos sistemas no recibieron el parche por alguna razón.

La técnica sin macros utilizada para difundir malware es inherente a un archivo adjunto con formato .DOCX, mientras que el origen del correo electrónico no deseado es la botnet Necurs.[4] Según Trustwave, el tema puede variar, pero todos tienen una relación económica. Se han advertido cuatro posibles versiones:

  • ESTADO DE CUENTA DE TNT
  • Solicitud de presupuesto
  • Notificación de transferencia por télex
  • COPIA RÁPIDA PARA EL PAGO DEL SALDO

SpiderLabs aprobó que el archivo adjunto malicioso coincida con todos los tipos de correos electrónicos no deseados sin macros. Según ellos, el archivo adjunto .DOCX se denomina "recibo.docx".

La cadena de la técnica de explotación libre de macros

El proceso de infección de varias etapas comienza tan pronto como la víctima potencial abre el archivo .DOCX. Este último activa un objeto OLE (vinculación e incrustación de objetos) incrustado que contiene referencias externas a servidores de piratas informáticos. De esta manera, los piratas informáticos obtienen acceso remoto a los objetos OLE a los que se hace referencia en document.xml.rels.

Los spammers aprovechan los documentos de Word (o en formato .DOCX) que se han creado con Microsoft Office 2007. Este tipo de documentos utiliza el formato Open XML, que se basa en tecnologías de archivo XML y ZIP. Los atacantes encontraron la manera de manipular estas tecnologías tanto manual como automáticamente. Después de eso, la etapa dos comienza solo cuando el usuario de la PC abre el archivo .DOCX malicioso. Cuando se abre el archivo, establece la conexión remota y descarga un archivo RTF (formato de archivo de texto enriquecido).

Cuando el usuario abre el archivo DOCX, se accede a un archivo de documento remoto desde la URL: hxxp: // gamestoredownload [.] Download / WS-word2017pa [.] Doc. En realidad, se trata de un archivo RTF que se descarga y ejecuta.

Así es como se ve esquemáticamente la técnica de ejecución de malware sin macros:

  • Una víctima potencial recibe un correo electrónico con un archivo .DOCX adjunto.
  • Él o ella hace doble clic en el archivo adjunto y descarga un objeto OLE.
  • Ahora se abre el supuesto archivo Doc, que en realidad es RTF.
  • El archivo DOC aprovecha la vulnerabilidad del editor de ecuaciones de Office CVE-2017-11882.
  • El código malicioso ejecuta una línea de comando MSHTA.
  • Este comando descarga y ejecuta un archivo HTA, que contiene VBScript.
  • VBScript descomprime un script de PowerShell.
  • El script de Powershell posteriormente instala el malware.

Mantenga actualizado el sistema operativo Windows y Office para protegerse de los ataques de malware sin macros

Los expertos en ciberseguridad aún no han encontrado una forma de proteger las cuentas de correo electrónico de las personas de los ataques de Necurs. Probablemente no se encontrará una protección al cien por cien. El consejo más importante es evitar los mensajes de correo electrónico dudosos. Si no has estado esperando un documento oficial, pero recibes uno de la nada, no caigas en este truco. Investigue estos mensajes en busca de errores gramaticales o tipográficos porque las autoridades oficiales difícilmente dejarán errores en sus notificaciones oficiales.

Además del cuidado, es importante mantener Windows y Office actualizados. Aquellos que han desactivado las actualizaciones automáticas durante mucho tiempo tienen un alto riesgo de sufrir infecciones graves por virus. El sistema y el software obsoletos instalados en él pueden presentar vulnerabilidades como CVE-2017-11882, que solo se pueden parchear instalando las últimas actualizaciones.