Nueva amenaza, viejas técnicas

Desde hace algunos años las técnicas usadas por los desarrolladores de malware se han enfocado en evadir los mecanismos de detección, encontrando que los macros ofuscados y el uso de herramientas propias de Windows es un mecanismo efectivo para cumplir sus objetivos, incluso si usan formatos antiguos de los documentos de ofimática.

Una de las campañas de malware que más ha explotado la técnica de los macros antiguos y ofuscados (algunos simplemente ocultos) es Emotet, llamado como un rey del antiguo Egipto, y que desde el 2014 se ha convertido en el troyano bancario más temido, con un pico de incidentes muy fuerte en 2019.

Pero durante las últimas semanas McAfee Labs publicó una nueva técnica de infección que no solo usa los macros de Office como su principal herramienta al inicio del ataque, sino que la complementa con la descarga de DLL’s maliciosas. En lo que llevamos de 2021 ha afectado principalmente a España, Canadá y Estados Unidos, siendo considerada como el regreso de una variante del malware bancario Zloader, que apareció por primera vez en 2006 como una variante del troyano bancario Zeus.

Analizando el flujo de la amenaza detectada vemos que el vector inicial del ataque es a través de un correo electrónico que trae adjunto un archivo de Microsoft Word, que descarga un Microsoft Excel protegido con contraseña desde un servidor remoto. Con los dos documentos en la máquina, se inicia una interacción programada con los macros de VBA en ambos archivos y modifican algunas políticas del registry, para evitar las alertas al ejecutar los macros dinámicos desde el Excel, para así descargar finalmente el ejecutable Zloader que contiene una DLL maliciosa.

Este es el típico comportamiento que hemos descrito en los ataques de tipo Fileless y que se han buscado prevenir con la creación de DIARIO, para detectar en el primer paso del flujo de la amenaza el contenido malicioso de esas macros respetando la privacidad de los documentos. Para este caso no es la excepción que se pueda usar, pues el hash que aparece como IoC principal es el documento de Word con el que inicia el ataque, que es 210f12d1282e90aadb532e7e891cbe4f089ef4f3ec0568dc459fb5d546c95eaf y que como se puede apreciar en la respuesta web.

Ya lo detectamos como malicioso, debido a que las 5 macros contienen procesos maliciosos y donde, al revisarlos en nuestra herramienta, se puede ver claramente cómo uno de estos está cargando el momento donde se abre el Excel con la contraseña desde el Word.

Y como desde la otra macro se crea la URL de descarga para este mismo archivo.

En el área de innovación se diseñó DIARIO pensando en que la forma más efectiva para las detecciones de código malicioso de este tipo es el uso del Machine Learning, por lo que cualquier otro documento que contenga alguna variante del proceso malicioso de esta detección, será inmediatamente reconocido y marcado como un documento malicioso.

Si los usuarios tuvieran el entrenamiento y concienciación suficientes para analizar cada uno de los archivos adjuntos que llegan a su correo, tener una herramienta como DIARIO dentro del cliente de Outlook, les permite mitigar el riesgo de este tipo de ataques y contrarrestar la amenaza desde el primer paso del flujo de ataque.