Programas maliciosos….
Traducción literal:
A fines de octubre, los investigadores de seguridad de Cymulate mostraron una prueba de concepto (PoC) que explotaba un error lógico que podía permitir a los piratas informáticos abusar de la función de video en línea de Microsoft Office para entregar malware. De hecho, identificamos una muestra en el medio silvestre (detectada por Trend Micro como TROJ_EXPLOIT.AOOCAI) en VirusTotal, utilizando este método para entregar el ladrón de información URSNIF (TSPY_URSNIF.OIBEAO).
¿Cuál es el vector de infección del malware?
Dado que este tipo de ataque implica el uso de un documento de Word especialmente diseñado, podemos asumir que puede llegar al sistema de un usuario a través de otro malware o como un archivo adjunto o enlaces / URL en spam.
La falla afecta a Microsoft Word 2013 y versiones posteriores. El PoC y el malware emplean el tipo de archivo DOCX utilizado en Microsoft Word, un archivo basado en lenguaje de marcado extensible (XML) que puede contener texto, objetos, estilos, formato e imágenes. Se almacenan como archivos separados y se empaquetan en un archivo DOCX comprimido / archivado en ZIP.
Figura 1: Comparación de las cadenas de infección PoC (izquierda) y de la muestra en la naturaleza (derecha)
¿Cómo funcionan los programas maliciosos PoC y en el salvaje?
El PoC y la muestra in-the-wild abusa de un error lógico en la función de incrustación de video en línea de Microsoft Office que permite a los usuarios incrustar un video en línea de fuentes externas como YouTube y otras plataformas de medios similares.
El PoC se realizó incrustando videos en línea en el documento y luego modificando los archivos XML dentro del paquete del documento. Como lo demuestra Cymulate, implica:
- Modificación de la extensión de archivo del documento (DOCX a ZIP).
- Extraer los archivos dentro del archivo del documento.
- Ubicación de la etiqueta ( embeddedHtml ) dentro del archivo XML donde se pueden agregar scripts o URL maliciosos. Tenga en cuenta que una vez que se modifica la URL bajo el parámetro embeddedHtml , redirige automáticamente al usuario a la URL especificada después de hacer clic en cualquier lugar del marco de video dentro del documento.
- Inicializando y desplegando la carga útil modificando el script dentro de embeddedHtml .
Una mirada más cercana a la muestra in-the-wild revela que simplemente modifica la URL escrita bajo el parámetro src , reemplazándola con una URL de Pastebin que contiene una secuencia de comandos que se carga y ejecuta luego de una redirección exitosa. A su vez, el script accede a otra URL maliciosa para descargar y ejecutar una versión del malware URSNIF.
Figura 2: Fragmento de código que muestra la URL modificada en el parámetro embeddedHtml (resaltado)
¿En qué se diferencia el PoC de la muestra de malware real?
El PoC utilizó el método msSaveorOpenBlob , que inicia una aplicación para un archivo u objeto blob, para decodificar un binario codificado en base64 incrustado dentro de la etiqueta de video. También se activa haciendo clic en el cuadro de vídeo. Una vez descodificado, le indicará al usuario con el Administrador de descargas de Internet Explorer (que muestra el nombre de archivo binario incorporado) una notificación que le pregunta si debe ejecutar o guardar manualmente el archivo ejecutable (que se muestra en la Figura 3).
Sin embargo, a diferencia del PoC, la muestra de malware real es más simple y podría ser más efectiva. Accederá directamente a la URL maliciosa al hacer clic en el cuadro de video. Luego cargaría un script malicioso que descarga automáticamente la carga útil final. Como se muestra en la Figura 4, luego solicita al usuario el administrador de descargas que guarde o ejecute la carga útil, que se presenta como una actualización de Flash Player.
Figura 3: Instantánea de IE Download Manager pidiendo al usuario que ejecute o guarde el archivo ejecutable
Figura 4: Cómo funciona la muestra en el medio silvestre
¿Cómo pueden los usuarios defenderse contra esta amenaza?
Microsoft informó que no asignó un identificador de CVE para esto ya que la función de inserción de video en línea funciona como estaba previsto / diseñado. Los usuarios pueden defenderse contra amenazas que abusan de esto al bloquear documentos de Word que tienen laetiquetaembeddedHtml en sus respectivos archivos XML o deshabilitar documentos con video incrustado. Dado que esta técnica aparentemente nueva solo necesita modificar las URL, podría exponer a los usuarios y las empresas a varios programas maliciosos y otras amenazas. Adopte las mejores prácticas: sea más cuidadoso con los correos electrónicos no solicitadosy actualice los sistemas, aplicaciones y redes para parchearvulnerabilidades explotables. El empleo de mecanismos de seguridad que pueden proporcionar capas adicionales de seguridad a los puntos finales (como el filtrado / categorización de URL) también puede ayudar a bloquear URL maliciosas y sitios de alojamiento de malware.
Los usuarios y las empresas también pueden considerar adoptar soluciones de seguridad que puedan proteger los sistemas de varias amenazas a través de una combinación intergeneracional de técnicas de defensa contra amenazas. Las soluciones de punto final de Trend Micro como Smart Protection Suites y Worry-Free Business Security pueden proteger a los usuarios y empresas de amenazas detectando mensajes y archivos maliciosos, así como bloqueando todas las URL maliciosas relacionadas. Trend Micro ™ Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de archivos adjuntos maliciosos y URL.
Estas soluciones se basan en la seguridad de Trend Micro ™ XGen ™ , que proporciona aprendizaje automático de alta fidelidad que asegura la puerta de enlace y el punto final , y protege las cargas de trabajo físicas, virtuales y en la nube. Con las tecnologías que emplean el filtrado de URL / web, el análisis de comportamiento y el sandboxing personalizado, la seguridad de XGen ofrece protección contra amenazas en constante cambio que evitan los controles tradicionales y explotan vulnerabilidades conocidas y desconocidas.
Indicadores de compromiso (IoC):
hashes relacionados (SHA-256):
- 03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 – TROJ_EXPLOIT.AOOCAI
- d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b – TSPY_URSNIF.OIBEAO
URL maliciosa relacionada:
- hxxp: // wetnosesandwhiskers [.] com / driverfix30e45vers [.] exe
Regla YARA para detectar TROJ_EXPLOIT.AOOCAI:
la regla EMBEDDEDHTML_WITH_SCRIPT {
meta:
description = «posible abuso de vídeo de Office embededHtml»
reference = «https://blog.cymulate.com/abusing-microsoft-office-online-video»
instrumentos de cuerda:
$ embeddedHtmlre1 = / \ sembeddedHtml = ”[^”] + /
$ embeddedHtmlre2 = / \ sembeddedHtml = ‘[^’] + /
$ script = “<script” nocase
condición:
(
para cualquier i in (1 .. # embeddedHtmlre1): (
para cualquier j en (1 .. # script): (
@ embeddedHtmlre1 [i] <@script [j] y
@script [j] <@ embeddedHtmlre1 [i] +! embeddedHtmlre1 [i]
)
)
)
o
(
para cualquier i in (1 .. # embeddedHtmlre2): (
para cualquier j en (1 .. # script): (
@ embeddedHtmlre2 [i] <@script [j] y
@script [j] <@ embeddedHtmlre2 [i] +! embeddedHtmlre2 [i]
)
)
)
}
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
