miércoles, 7 de junio de 2017

Que los piratas informáticos utilicen las aplicaciones de Office, concretamente Word, para distribuir malware no es algo nuevo. Desde hace mucho tiempo llevamos viendo cómo se utilizan las macros de Word para ocultar y distribuir malware a través de falsos documentos. Sin embargo, recientemente parece que los piratas informáticos han encontrado una nueva forma de ocultar sus amenazas, esta vez utilizando la herramienta de presentaciones PowerPoint para dicha tarea.

Tal como informa la empresa de seguridad SentinelOne, a principios de este mes se ha encontrado una nueva variante del malware “Zusy” que se estaba distribuyendo a través de documentos PowerPoint maliciosos. Es cierto que la mayoría de las aplicaciones de Office permiten el uso de macros para poder realizar ciertas tareas. Por defecto, para poder ejecutar este tipo de contenido debemos darle permiso específicamente y, de lo contrario, no se ejecutará. Sin embargo, esta nueva técnica utilizada por los piratas no requiere de permiso para ejecutar el código malicioso, simplemente con abrirlo, nuestro sistema estará en peligro.

En lugar de ejecutar el payload del malware directamente desde PowerPoint, esta nueva técnica se basa en ejecutar una aplicación externa, concretamente PowerShell, para ejecutar en ella un sencillo script que ya es el encargado de descargar, instalar y configurar el malware en el ordenador de las víctimas.

Cuando se ejecuta el archivo malicioso, podremos ver una diapositiva muy sencilla con un enlace en el centro que dice “Loading, please wait”. Si pasamos el ratón por encima de este enlace, incluso sin pulsar sobre él, automáticamente se ejecutará PowerShell junto a la cadena de comandos que dan lugar a la infección con una nueva variante de “Zusy”, además de otras variantes de Tinba y Tiny Banker.

Según la configuración de seguridad de Windows y Office, algunos sistemas mostrarán un mensaje de seguridad

Muchos usuarios suelen depender de aplicaciones externas para evitar infectarse con este tipo de malware, incluso puede incluso que tengan totalmente bloqueadas las macros en Office para evitar que este tipo de código se ejecute, sin embargo, con la ejecución de aplicaciones externas, la configuración suele ser mucho más permisiva, y es aquí donde esta nueva técnica de ataque funciona.

Los usuarios que tengan permitida la ejecución automática de aplicaciones, simplemente con pasar el ratón por encima del enlace, como hemos dicho, se llevará a cabo la infección. Aquellos que tengan un poco restringida esta ejecución verán un mensaje como el siguiente, mensaje que, además, tampoco dice mucho sobre la infección.

PowerPoint malware Zusy

A pesar de que algunas configuraciones pueden mostrar el mensaje de advertencia, este nuevo tipo de ataque es muy peligroso ya que muchos usuarios no siquiera llegarán a ver el mensaje o, si no tienen conocimientos sobre informática o seguridad, incluso puede que lo confirmen y ejecuten el ataque.

Cómo protegernos de esta nueva amenaza que se distribuye a través de PowerPoint

Igual que en la mayoría de los casos, esta amenaza llega a través del correo electrónico, concretamente en dos archivos llamados “Purchase Order #130527” y “Confirmation”. Si recibimos estos u otros archivos sospechosos a través del correo, lo primero que debemos hacer es eliminarlos directamente para evitar caer en la infección.

Además, como medida de seguridad adicional, podemos bloquear todas las conexiones al dominio “cccn.nl” en nuestro firewall, dominio al que conecta el malware y desde el que se descarga el payload que da comienzo a la infección.

Por último, los expertos de seguridad aseguran que PowerPoint Viewer, al no ser compatible con la ejecución de programas externos, no está afectado por este fallo.

¿Qué opinas de este nuevo tipo de ataque informático?



Via: www.redeszone.net