software

Ciberdelincuentes actualizan el antiguo ataque de macro de Excel 4.0

09 deAbril, 2020

escrito por

OneIt

Los hackers han actualizado la antigua técnica de ataque de malware de Excel con un nuevo giro, el acceso sin contraseña. Los investigadores han identificado un nuevo método que ya no requiere que las víctimas ingresen una contraseña para abrir un documento de peligro, exponiéndolos más fácilmente a una posible infección de malware.

Investigadores de la firma de seguridad Trustwave dijeron que descubrieron una nueva campaña de malspam que envía archivos Excel 4.0 xls 97-2003 con una macro comprometida en los mensajes de correo electrónico. La estrategia es predecible e intenta engañar a los usuarios con temas que van desde facturas falsas hasta señuelos relacionados con COVID-19 .

En campañas anteriores, este tipo de ataque utiliza un documento Excel 4.0 protegido con contraseña. El cuerpo del mensaje contiene una contraseña que los atacantes usan para tentar a los objetivos para abrir el documento de Excel. La idea es que un documento de Excel protegido con contraseña se envíe encriptado utilizando Microsoft Enhanced Cryptographic Provider v1.0. La capa de cifrado a menudo permite que el correo electrónico malicioso pase por alto las defensas del correo electrónico. El documento en sí contiene hojas de macro de Excel 4.0, una de las cuales alberga una macro maliciosa.

La técnica actualizada mantiene el documento cifrado de Excel. También requiere la interacción del usuario, ya que los usuarios aún deben ser engañados para que abran el documento de Excel desde el correo electrónico de phishing. La diferencia es que, cuando una víctima abre el documento protegido con contraseña, los piratas informáticos han ideado una forma de abrir el documento cifrado y protegido con contraseña sin requerir la entrada física de una contraseña.

Según la investigadora de Trustwave, Diana Lopera, en una publicación de blog que describe el descubrimiento publicado el viernes, "se ha aplicado una contraseña a los archivos de Excel, que utilizaban el algoritmo del Proveedor criptográfico mejorado de Microsoft v1.0 para cifrar los archivos adjuntos".

Luego, explica, "los documentos protegidos con contraseña solo se pueden abrir con la contraseña correcta, ya que esta es la clave necesaria en el proceso de descifrado ... Excel primero intenta abrir un archivo Excel protegido con contraseña usando [una] contraseña predeterminada 'VelvetSweatshop' en lectura- solo modo ".

En el fondo, dijeron los investigadores, el documento de Excel se abre con la contraseña predeterminada predeterminada. “Por lo tanto, no se requirió la entrada de contraseña del usuario ni se solicitó una advertencia de la aplicación. El contenido de los archivos XLS se mostró de inmediato ".

Eso permite que el documento malicioso de Excel 4.0 siga una rutina de infección familiar.

Los actores incrustaron actividad maliciosa en hojas macro con nombres aleatorios. Dentro de las hojas de Excel hay una macro maliciosa.

"La macro descargará un binario de un sitio comprometido, lo guardará en el disco bajo la unidad C y los ejecutará", dijo.

 

La macro enlaza a un sitio comprometido que aloja a Gozi , un troyano bancario que puede seguir las transacciones bancarias de una víctima, robando credenciales que se utilizan para transferir fondos de la cuenta de la víctima.

De hecho, la forma en que Excel trata el archivo cuando un usuario hace clic en él es un error de solo lectura que se conoce desde hace más de 10 años , anotaron investigadores de Trustwave. Los investigadores del Mimecast Threat Center también descubrieron una campaña que recientemente difundió el malware LimeRAT que aprovecha una vulnerabilidad con respecto a esta función de solo lectura publicada en línea en 2013.

Los investigadores de Trustwave dijeron que la amenaza es una de una serie de nuevas campañas de malspam que aprovechan la macro Excel 4.0 protegida por contraseña para participar en actividades maliciosas.

https://threatpost.com/hackers-update-age-old-excel-4-0-macro-attack/154898/