Tecnología y un poco más... Blog - Mopa Hosting, sistemas, cómputo y más

logo M
M Cómputo y sistemas
Title
M Cómputo y sistemas
Vaya al Contenido

Campañas de Pishing con documentos de Word infectados

Mopa Hosting, sistemas, cómputo y más
Publicado por en Programación ·

Aumento de virus vía archivos de Word

 
 
Desde los últimos meses, en algún lugar donde trabajo, en Pachuca, he visto un  gran aumento de  actividad de correos  con adjuntos de Word de supuestos clientes o proveedores preguntando por pagos o facturas enviadas, pagos pendientes, o alguna otra cosa que se deba a alguna actividad empresarial; algunos nombres de clientes o proveedores reales pero que ya no trabajan en esa empresa y otros totalmente desconocidos haciendo phising en el correo.
 
Algunos son detectados perfectamente por la solución antivirus otros no y hay que hacer el reporte manual; el día de hoy vamos a hablar acerca de esto.
 
Son dos campañas o ataques diferentes; una con un troyano que roba información (Ursnif) y la segunda con un ransomware (GrandCrab).
 
 
Según expertos estas campañas de malware son desencadenadas por dos grupos diferentes, aunque con muchas similitudes las cuales son:

 
  1. Ambas utilizan suplantación de identidad (pishing)
  2. Contienen documentos de Word adjuntos (.doc)
  3. Tienen incrustados  macros VBS que desencadenan llamadas a Power Shell para  entregar o descargar  el malware.
   

Según investigaciones son más de 180 variantes de documentos  de Word con macros maliciosas.

 

MS Docs + macros VBS = Infección Ursnif y GandCrab

 

Al momento de ejecutarse la macro maliciosa se ejecuta un script de Power Shell, que luego utiliza una serie de técnicas tanto para descargas como para ejecutar el malware.
 
El script de PowerShell está codificado en base64 que ejecuta la siguiente etapa de la infección, que es responsable de descargar las principales cargas de malware para comprometer el sistema.

La primera carga útil es una línea de PowerShell que evalúa la arquitectura del sistema objetivo y, en consecuencia, descarga una carga adicional desde el sitio web de Pastebin, que se ejecuta en la memoria, lo que dificulta que las técnicas antivirus tradicionales detecten sus actividades.
 
 
 
"Este script de PowerShell es una versión del módulo Empire Invoke-PSInject, con muy pocas modificaciones", dijeron los investigadores de Carbon Black. "El script tomará un archivo PE [ejecutable portátil] incrustado que ha sido codificado en base64 y lo inyectará en el proceso actual de PowerShell".
 
Mientras tanto, el malware también descarga un ejecutable de Ursnif desde un servidor remoto y, una vez ejecutado, tomará las huellas dactilares del sistema, supervisará el tráfico del navegador web para recopilar datos y luego los enviará al servidor de comando y control (C&C) de los atacantes.

 

MS Docs + macros VBS = Ursnif Malware de robo de datos


 
Del mismo modo, la segunda campaña de malware detectada por los investigadores de seguridad de Cisco Talos aprovecha un documento de Microsoft Word que contiene una macro VBA maliciosa para ofrecer otra variante del mismo malware Ursnif.

 
Este ataque de malware también compromete los sistemas específicos en múltiples etapas, desde correos electrónicos de suplantación de identidad hasta ejecutar comandos maliciosos de Power Shell para obtener una persistencia sin archivos y luego descargar e instalar el virus de computadora Ursnif con robo de datos.

 
Una vez ejecutado en la computadora víctima, el malware recopila información del sistema, la coloca en un formato de archivo CAB y luego la envía a su servidor de comando y control a través de una conexión segura HTTPS.

Los investigadores de Talos han publicado una lista de indicadores de compromiso (IOC, por sus siglas en inglés), junto con los nombres de los nombres de archivos de carga en las máquinas comprometidas, en su publicación de blog que puede ayudarlo a detectar y detener el malware Ursnif antes de que infecte su red.

 

El malware


 
Ursnif es un malware de robo de datos que generalmente roba información confidencial de computadoras comprometidas con la capacidad de recopilar credenciales bancarias, actividades de navegación, recopilación de pulsaciones de teclas, información de sistemas y procesos, e implementación de puertas traseras adicionales.
 
Descubierto a principios del año pasado, GandCrab es una amenaza generalizada de ransomware que, como cualquier otro ransomware en el mercado, cifra los archivos en un sistema infectado e insiste a las víctimas a pagar un rescate en moneda digital para desbloquearlos. Sus desarrolladores solicitan pagos principalmente en DASH, que es más complejo de rastrear.
 
 

Como protegernos


 
Aunque ya son detectadas las variantes por casi todos los antivirus o IPS/IDS nunca están de más estas reglas.

 
La regla básica es: “SI NO LO HE PEDIDO NO LO DEBO ABRIR” y es que si yo no pedí información no es para mí, algo debe estar mal.

 
Aunque las técnicas de pishing han evolucionado, la mayoría aún tiene deficiencias muy claras  que se pueden ver sin dificultad, OBSERVAR, es la segunda sugerencia.

 
Actualizar las definiciones de virus, definiciones de Talos o Snort o cualquier otro IDS/IPS instalado
 

Por ultimo “NO ABRIR CORREOS CON DOCUMENTOS .DOC” antes de verificar la veracidad de los mismos una llamada telefónica no está de más.
 
 
Otra recomendación es cambiar a OpenOffice u LibreOffice en máquinas donde el uso de MS Office no se a necesario
 
 



comments powered by Disqus
Regreso al contenido