La característica incorporada de MS Office podría ser explotada para crear malware de autorreplicación

qkg-macros

A principios de este mes, un investigador de seguridad cibernética compartió detalles de una laguna de seguridad con The Hacker News que afecta a todas las versiones de Microsoft Office, lo que permite a los actores maliciosos crear y difundir malware basado en macros y autorreplicación.

El malware autoreplicante basado en macros, que básicamente permite que una macro escriba más macros, no es nuevo entre los piratas informáticos, pero para prevenir tales amenazas, Microsoft ya ha introducido un mecanismo de seguridad en MS Office que limita esta funcionalidad por defecto.

Lino Antonio Buono, un investigador de seguridad italiano que trabaja en InTheCyber , informó una técnica simple (detallada a continuación) que podría permitir a cualquiera eludir el control de seguridad implementado por Microsoft y crear malware autoreplicante escondido detrás de documentos de MS Word de aspecto inocente.

¿Que es peor? Microsoft se rehusó a considerar este problema como una laguna de seguridad cuando el investigador se puso en contacto con él en octubre de este año, diciendo que es una función destinada a funcionar solo de esta manera, al igual que la característica DDE de MS Office , que los hackers están utilizando activamente .

Nuevo ‘qkG Ransomware’ encontrado utilizando la misma técnica de autodesprendimiento

Curiosamente, uno de esos programas maliciosos está en camino de afectarte. Lo sé, eso fue rápido, incluso antes de su divulgación pública.

Trend Micro publicó un informe sobre una nueva pieza de ransomware autoreplicante basado en macros, denominado ” qkG “, que explota exactamente la misma característica de MS Office que Buono describió a nuestro equipo.

Los investigadores de Trend Micro detectaron muestras de qkG ransomware en VirusTotal cargadas por alguien de Vietnam, y dijeron que este ransomware parece “más un proyecto experimental o una prueba de concepto (PoC) que un malware utilizado activamente en la naturaleza”.

El qkG ransomware emplea la técnica Auto Close VBA macro, una técnica que permite ejecutar macro maliciosas cuando la víctima cierra el documento.

qkG-ransomware

La última muestra de qkG ransomware ahora incluye una dirección de Bitcoin con una pequeña nota de rescate que exige $ 300 en BTC, como se muestra.

Cabe señalar que la dirección de Bitcoin mencionada anteriormente no ha recibido ningún pago, lo que aparentemente significa que este ransomware aún no se ha utilizado para dirigirse a personas.

Además, este ransomware utiliza actualmente la misma contraseña codificada: “¡Estoy QkG @ PTM17! Por TNA @ MHT-TT2” que desbloquea los archivos afectados.

Así es como funciona esta nueva técnica de ataque

Con el fin de hacernos entender la técnica de ataque completa, Buono compartió un video con The Hacker News que demuestra cómo un documento de MS Word equipado con código VBA malicioso podría ser utilizado para entregar un malware de etapas múltiples autoreplicante.
Si no está enterado, Microsoft ha desactivado macros externas (o no confiables) de forma predeterminada y para restringir el acceso programático predeterminado al modelo de objetos de proyecto de Office VBA, también ofrece a los usuarios habilitar manualmente el acceso de confianza al modelo de objetos de proyecto de VBA, siempre que sea necesario.
microsoft-office-macro-malware

Con la opción “Confiar en el acceso al modelo de objetos de proyecto de VBA” habilitada, MS Office confía en todas las macros y ejecuta automáticamente cualquier código sin mostrar advertencia de seguridad o que requiera permiso del usuario.

Buono descubrió que esta configuración puede habilitarse / deshabilitarse simplemente editando un registro de Windows, permitiendo eventualmente que las macros escriban más macros sin el consentimiento y conocimiento del usuario.

windows-registry-enable-macro

Como se muestra en el video, un archivo MS Doc malicioso creado por Buono hace lo mismo: primero edita el registro de Windows y luego inyecta la misma macro carga útil (código VBA) en cada archivo de documento que la víctima crea, edita o simplemente abre en su / su sistema.

Las víctimas serán, sin saberlo, responsables de propagar el malware más allá

En otras palabras, si la víctima permite erróneamente que el archivo doc malicioso ejecute macros una vez, su sistema permanecerá abierto a los ataques basados ​​en macros.

Además, la víctima también será sin saberlo responsable de propagar el mismo código malicioso a otros usuarios al compartir los archivos de la oficina infectada de su sistema.

Esta técnica de ataque podría ser más preocupante cuando recibe un archivo doc malicioso de un contacto de confianza que ya ha sido infectado con dicho malware, convirtiéndolo finalmente en su próximo vector de ataque para los demás.

Aunque esta técnica no se está explotando en la naturaleza, el investigador cree que podría aprovecharse para propagar peligrosos malware autorreplicantes que podrían ser difíciles de tratar y poner fin.

Como esta es una característica legítima, la mayoría de las soluciones antivirus no marcan ninguna advertencia ni bloquean los documentos de MS Office con código VBA, ni la compañía tecnológica tiene planes de emitir un parche que restrinja esta funcionalidad.

Buono sugiere que “para mitigar (parcialmente) la vulnerabilidad, es posible mover la clave de registro de AccessVBOM de la sección HKCU a la HKLM, haciéndola editable solo por el administrador del sistema”.

La mejor manera de protegerse contra ese tipo de malware es siempre sospechar de cualquier documento “no invitado” enviado a través de un correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique adecuadamente la fuente.

Fuente: thehackernews
Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:, ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: