sábado, 17 de febrero de 2018

Evolución de los ataques que usan documentos de Word

Una nueva técnica multi-etapa permite infectar dispositivos a través de documentos de Word sin utilizar macros.

Ya es habitual el uso de macros en programas de Microsoft Office como medio de ataque. Sin embargo, el equipo de investigadores de Trustwave se hace eco de una nueva técnica que no requiere el uso de macros para infectar los dispositivos.

La muestra analizada fue descubierta en una campaña de spam por correo electrónico cuyo objetivo final era la instalación de un ejecutable encargado de capturar las contraseñas de la víctima.

El proceso de infección sucede en cuatro etapas:
Proceso de infección. Fuente: https://www.trustwave.com/

  1. La víctima recibe un correo con un archivo de Word adjunto, que contiene objetos OLE con referencias externas.
  2. Al abrir esta referencia externa se descargará y ejecutará un fichero RTF que aprovechará la vulnerabilidad CVE-2017-11882 para ejecutar código arbitrario de forma remota (RCE).
  3. Sirviéndose de un fallo en la gestión de la memoria en el Editor de Ecuaciones de Microsoft Office, se consigue ejecutar un comando MSHTA que descargará y ejecutará una aplicación HTA.
  4. Esta aplicación descargará y ejecutará el script para Visual Basic que a su vez descargará e implantará el malware en la máquina.

Referencia al archivo RTF remoto. Fuente: https://www.trustwave.com/

El malware se encarga de capturar contraseñas de servicios de email, ftp y del navegador. Para ello hace uso de las API RegOpenKeyExW y PathFileExistsW de Windows.

Desde el punto de vista del atacante, el número de etapas requeridas para la infección reduce sus probabilidades de éxito. Sin embargo, el uso de extensiones menos habituales en los procesos de distribución de malware (DOCX, RTF y HTA), reduce las probabilidades de que los correos sean bloqueados.

Algunos de los asuntos utilizados en estos correos son:

  • TNT STATEMENT OF ACCOUNT 
  • Request for Quotation (RFQ) 
  • Telex Transfer Notification
  • SWIFT COPY FOR BALANCE PAYMENT


IOCs compartidos por Trustwave:

Fichero DOCX
MD5: F7DA16B16567A78C49D998AE85021A0F
SHA1: 776C469861C3AC30AA63D9434449498456864653
https://www.virustotal.com/#/file/05d54ff3fb7e4d8cfaafcbba08ec217c1bff60216e23c3fdca0bbc80c627c9bc/detection

Fichero RTF
MD5: 79BCAFD6807332AD2B52C61FE05FFD22
SHA1: 0D8215F88C75CD8FBF2DFAB12D47B520ECE94C52
https://www.virustotal.com/#/file/e6c9b4ac3c1adda9733eee44e638d2127ab6ff00176c363437263712c7421f66/detection

Fichero HTA
MD5: 11B28D4C555980938FE7440629C6E0EC
SHA1: 0ADD65090EF957AA054236FF6DD59B623509EC8B
https://www.virustotal.com/#/file/fcc1bd24951b5dca31147bbc33d3566c23fb1a78a9afcbb62d0ae9e7695517ed/detection

Payload final
MD5: EDB27CC321DF63ED62502C172C172D4F
SHA1: C4AA4E70521DD491C16CE1FBAB2D4D225C41D1EA
https://www.virustotal.com/#/file/69bde8f8a0f2a23956eb9c0fa8782dc1e89f534eb8e01e0c8e193e07e72ac76c/detection




Francisco Salido
fsalido@hispasec.com

Más información:

Multi-Stage Email Word Attack Without Macros