Nueva campaña de Phishing de Microsoft Office con omisión de protección contra malware

Los usuarios de Microsoft Excel y Word están siendo objeto de una campaña de malware que utiliza una técnica novedosa de ofuscación de malware para deshabilitar las defensas de Office y entregar el troyano Zloader.

Troyano bancario Zloader

Zloader es un troyano bancario diseñado para robar credenciales y otra información privada de usuarios de instituciones financieras específicas.

Campaña de Phishing

Según investigadores del equipo de McAfee el vector de ataque inicial que se utiliza son los mensajes de phishing que llegan a la bandeja de entrada con archivos adjuntos de documentos de Word que no contienen código malicioso. Por lo tanto, normalmente no activaría una puerta de enlace de correo electrónico o un software antivirus del lado del cliente para bloquear el ataque.

De esta forma la técnica de macro-ofuscación aprovecha los campos de intercambio dinámico de datos (DDE) de Excel de Microsoft Office y Visual Basic para aplicaciones (VBA) basado en Windows para lanzar ataques contra sistemas que admiten formatos XLS heredados.

Modus operandi

• El malware llega a través de un correo electrónico de phishing que contiene un documento de Microsoft Word como archivo adjunto. 
• Cuando se abre el documento y se habilitan las macros, el documento de Word, a su vez, descarga y abre otro documento de Microsoft Excel protegido con contraseña.
  • Mensaje que aparece dentro de Word: “Este documento fue creado en una versión anterior de Microsoft Office Word. Para ver o editar este documento, haga clic en el botón 'Habilitar edición' en la barra superior y luego haga clic en 'Habilitar contenido”.
• A continuación, la instrucción basada en VBA incrustada en el documento de Word lee una celda de hoja de cálculo de Excel especialmente diseñada para crear una macro. 
• Esa macro llena una celda adicional en el mismo documento XLS con una macro VBA adicional, que deshabilita las defensas de Office.
• Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para 'Desactivar la advertencia de macro de Excel' e invoca la función de macro maliciosa desde el archivo de Excel. 
• El archivo de Excel ahora descarga la carga útil de Zloader.
• Finalmente, la carga útil de Zloader se ejecuta usando rundll32.exe

Técnica de ofuscación

Luego que los usuarios habilitan la edición del documento, los autores de malware aprovechan el método DDE para transferir datos entre aplicaciones, como Excel y Word y el lenguaje de programación VBA que permite a los usuarios crear cadenas de comandos utilizando una herramienta llamada Macro Recorder.

De esta forma los autores de malware logran la omisión de advertencia al incrustar instrucciones en el documento de Word para extraer el contenido de las celdas de Excel y una vez que se crea la macro de Excel y está lista para ejecutarse, el script modificará el RegKey de Windows para deshabilitar el acceso de confianza para VBA en la máquina de la víctima. Esto permite que el script ejecute la función sin problemas sin advertencias de Microsoft Office.

*Se recomienda que es seguro habilitar (macros) solo cuando el documento recibido proviene de una fuente confiable

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.