Cómo se está disfrazando (y ocultando) Emotet y el malware de macro en los últimos tiempos

En esta entrada vamos a ver de forma rápida algunas fórmulas sencillas para reconocer a nivel visual y a nivel de código las últimas amenazas en malware de macro. Estos son solo tres ejemplos habituales en estos tiempos, pero pueden existir muchas más. Mostraremos una imagen clara de lo que verá el usuario y cómo es “incitado” a ejecutar las macros. Continuaremos con un breve repaso por la estructura de código de cada muestra con su característica principal.

El malware de macro es una amenaza muy activa en estos tiempos. Está viviendo una época dorada desde 2014, tras muchos años en silencio (prácticamente desde principio de los 2000). En los últimos tiempos, Office en sí mismo, ya sea a través de vulnerabilidades o el malware de macro, se está convirtiendo en la amenaza principal. En esta gráfica se observa que las amenazas de Office en 2018 han aumentado hasta suponer el 70% de las plataformas para atacar a usuarios.

Describimos ahora tres ejemplos de malware de macro típicos.

Cases para nada

El hash analizado para este ejemplo es este:

0af2ecaab930bdcb2daff398115a17750c96b5d34cb69df0b9884d5363043ebf

Cuando se abre el fichero, el documento muestra una imagen similar a esta, esperando que sea el propio usuario quien habilite las macros.

Este fichero contiene hasta 12 macros, de diferentes tamaños.

Las macros más pesadas se caracterizan por contener mucho código comentado. En esta muestra en particular se usan muchas instrucciones “Case” que no sirven para nada más que para ofuscar el código y pasar desapercibido para los antivirus.

Comentarios sin sentido

La muestra analizada es:

f86caacee45fe5c5d010cd4ce227e9218612a27db4a5126e2ed0d5ae125fc4a4

Así se ve el documento al abrirlo, esperando que el usuario culmine su infección.

Estos ficheros se alojan en sitios comprometidos (WordPress) desde donde se suelen descargar nuevos documentos u otros payloads. Suele contener cuatro macros, dos voluminosas y dos más pequeñas.

La macro de 680 bytes en este caso, se crea al vuelo cuando se insertan elementos visuales en una Macro orientados a eventos (por ejemplo campos de textos que llaman a funciones). Los elementos visuales no se llegan a mostrar, sirven, de nuevo, para despistar a los antivirus.

Esto último es algo bastante común en los últimos Emotet. Las otras macros contienen infinidad de comentarios, palabras aleatorias reales, mezcladas con funciones matemáticas. Finalmente la muestra lanzará el navegador para descargar más ficheros.

Clásico Emotet, MACs y correos inventados

Hay varios tipos, pero este de la pantalla completamente azul es uno de los más habituales de la familia Emotet. La muestra analizada es:

99cbb727d4e6ae593f1106b4d8bdb5e312001619.

De nuevo, estas muestras contienen unas cinco macros.

Aquí vemos el código lleno no de comentarios, sino de valores como correos electrónicos aparentemente válidos, y direcciones MAC y valores hash. Todas ellas sin función aparente más que la de despistar a los antivirus.

Conclusiones y recomendaciones

Aunque no hayamos realizado un examen muy exhaustivo de cada muestra, hemos recorrido los ejemplos más representativas actuales del malware de macro. Hay muchas otras apariencias y formatos, pero hay que tener muy presente que siempre que el documento incite a habilitar las macros explícitamente, es muy probable que se trate de malware. ¿Qué pasa cuando estos documentos se ejecutan? Depende, pero la carga maliciosa va desde el ransomware hasta los movimientos laterales de exploración en la red.

Al menos, podemos concluir con esto que:

• El malware de macro sigue vivo. Los motores antivirus están teniendo muchos problemas para detectaros en estático gracias a estos trucos.
• Sin conocer al enemigo es más difícil actuar. Estas imágenes y una mayor concienciación servirán a los usuarios para identificar documentos maliciosos fácilmente.
• Ante la duda, y si el documento es susceptible de contener información confidencial, se puede utilizar nuestra herramienta Diario.