Cómo se está disfrazando (y ocultando) Emotet y el malware de macro en los últimos tiemposÁrea de Innovación y Laboratorio de Telefónica Tech 5 noviembre, 2019 En esta entrada vamos a ver de forma rápida algunas fórmulas sencillas para reconocer a nivel visual y a nivel de código las últimas amenazas en malware de macro. Estos son solo tres ejemplos habituales en estos tiempos, pero pueden existir muchas más. Mostraremos una imagen clara de lo que verá el usuario y cómo es “incitado” a ejecutar las macros. Continuaremos con un breve repaso por la estructura de código de cada muestra con su característica principal. El malware de macro es una amenaza muy activa en estos tiempos. Está viviendo una época dorada desde 2014, tras muchos años en silencio (prácticamente desde principio de los 2000). En los últimos tiempos, Office en sí mismo, ya sea a través de vulnerabilidades o el malware de macro, se está convirtiendo en la amenaza principal. En esta gráfica se observa que las amenazas de Office en 2018 han aumentado hasta suponer el 70% de las plataformas para atacar a usuarios. Describimos ahora tres ejemplos de malware de macro típicos. Cases para nada El hash analizado para este ejemplo es este: 0af2ecaab930bdcb2daff398115a17750c96b5d34cb69df0b9884d5363043ebf Cuando se abre el fichero, el documento muestra una imagen similar a esta, esperando que sea el propio usuario quien habilite las macros. Este fichero contiene hasta 12 macros, de diferentes tamaños. Las macros más pesadas se caracterizan por contener mucho código comentado. En esta muestra en particular se usan muchas instrucciones “Case” que no sirven para nada más que para ofuscar el código y pasar desapercibido para los antivirus. Comentarios sin sentido La muestra analizada es: f86caacee45fe5c5d010cd4ce227e9218612a27db4a5126e2ed0d5ae125fc4a4 Así se ve el documento al abrirlo, esperando que el usuario culmine su infección. Estos ficheros se alojan en sitios comprometidos (WordPress) desde donde se suelen descargar nuevos documentos u otros payloads. Suele contener cuatro macros, dos voluminosas y dos más pequeñas. La macro de 680 bytes en este caso, se crea al vuelo cuando se insertan elementos visuales en una Macro orientados a eventos (por ejemplo campos de textos que llaman a funciones). Los elementos visuales no se llegan a mostrar, sirven, de nuevo, para despistar a los antivirus. Esto último es algo bastante común en los últimos Emotet. Las otras macros contienen infinidad de comentarios, palabras aleatorias reales, mezcladas con funciones matemáticas. Finalmente la muestra lanzará el navegador para descargar más ficheros. Clásico Emotet, MACs y correos inventados Hay varios tipos, pero este de la pantalla completamente azul es uno de los más habituales de la familia Emotet. La muestra analizada es: 99cbb727d4e6ae593f1106b4d8bdb5e312001619. De nuevo, estas muestras contienen unas cinco macros. Aquí vemos el código lleno no de comentarios, sino de valores como correos electrónicos aparentemente válidos, y direcciones MAC y valores hash. Todas ellas sin función aparente más que la de despistar a los antivirus. Conclusiones y recomendaciones Aunque no hayamos realizado un examen muy exhaustivo de cada muestra, hemos recorrido los ejemplos más representativas actuales del malware de macro. Hay muchas otras apariencias y formatos, pero hay que tener muy presente que siempre que el documento incite a habilitar las macros explícitamente, es muy probable que se trate de malware. ¿Qué pasa cuando estos documentos se ejecutan? Depende, pero la carga maliciosa va desde el ransomware hasta los movimientos laterales de exploración en la red. Al menos, podemos concluir con esto que: El malware de macro sigue vivo. Los motores antivirus están teniendo muchos problemas para detectaros en estático gracias a estos trucos.Sin conocer al enemigo es más difícil actuar. Estas imágenes y una mayor concienciación servirán a los usuarios para identificar documentos maliciosos fácilmente.Ante la duda, y si el documento es susceptible de contener información confidencial, se puede utilizar nuestra herramienta Diario. Innovación y laboratorio de ElevenPaths en la Black Hat Europe Londres 2019Airdrop Crazy: herramienta para recopilar información de dispositivos Apple adyacentes
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...
Os dejo otro enlace del análisis de Emotet que os puede ser de interes: https://ciberseguridad.blog/analizando-el-troyano-bancario-emotet/ Responder