Los hackers aprovechan la infame botnet Necurs para distribuir correos electrónicos no deseados que entregan documentos de Microsoft Office que incorporan macros maliciosos.
Los archivos adjuntos DOCX utilizados por los atacantes contienen un objeto OLE incrustado que tiene referencias externas, el acceso externo se proporciona a objetos OLE remotos a los que se hace referencia en document.xml.rels.
“Cualquiera puede manipular fácilmente datos en un archivo de Word 2007 de forma programática o manual. Como se muestra a continuación, el archivo adjunto DOCX contiene un objeto OLE incrustado que tiene referencias externas. Esta ‘característica’ permite referenciar el acceso externo a los objetos OLE remotos en document.xml.rels.” Establece el análisis publicado por trustwave.
“Cuando el usuario abre el archivo DOCX, hace que se acceda a un archivo de documento remoto desde la URL: hxxp://gamestoredownload [.] Download / WS-word2017pa [.] Doc. Este es en realidad un archivo RTF que se descarga y ejecuta”.
Una vez que la víctima abrió el archivo, intentará desencadenar la falla de corrupción de memoria CVE-2017-11882 que fue utilizada por muchos hackers en la red, incluido el grupo de piratería Cobalt. Microsoft solucionó la vulnerabilidad en noviembre, el error CVE-2017-11882 fue descubierto por los investigadores de seguridad en Embedi, afecta al componente EQNEDT32.EXE de MS Office que es responsable de la inserción y edición de ecuaciones (objetos OLE) en los documentos.
El componente no maneja adecuadamente los objetos en la memoria, un error que podría ser explotado por el atacante para ejecutar código malicioso en el contexto del usuario que inició sesión.
Volviendo al ataque en etapas múltiples basado en macro descubierto por Trustwave, el archivo RTF al que se accede después de que la víctima abre los archivos DOCX ejecuta una línea de comando MSHTA para descargar y ejecutar un archivo HTA remoto.
El archivo HTA contiene VBScript con código ofuscado que decodifica a un PowerShell Script diseñado para eventualmente descargar y ejecuta un archivo binario remoto que es un Password Stealer Malware.
“El malware roba las credenciales de los programas de correo electrónico, ftp y navegador mediante la concatenación de cadenas disponibles en la memoria y el uso de las API RegOpenKeyExW y PathFileExistsW para comprobar si existen rutas de registro o de varios programas”, continúa el análisis.
El robo de contraseñas enviará datos al servidor de comando y control (C&C) a través de HTTP POST.
El aspecto más interesante de este ataque es el uso de múltiples etapas para entregar la carga final, un enfoque que Trustwave llama inusual.
Los investigadores de malware en Trustwave destacaron que una cadena de infección tan larga tiene más probabilidades de fallar en comparación con otra técnica implementada en otros ataques.
“Es bastante inusual encontrar tantas fases y vectores que se utilizan para descargar malware. De hecho, este enfoque puede ser muy arriesgado para el autor del malware. Si cualquier etapa falla, tendrá un efecto dominó en todo el proceso. Otro punto notable es que el ataque utiliza tipos de archivos (DOCX, RTF y HTA), que a menudo no son bloqueados por correo electrónico o puertas de enlace de red a diferencia de los lenguajes de script más obvios como VBS, JScript o WSF “, concluye Trustwave.
El análisis publicado por Trustwave incluye los Indicadores de compromiso (IoC).
