Xavier Mertens, miembro de SANS ISC, ha detectado y analizado un archivo de Word malicioso, que fue creado para descargar automáticamente un archivo RTF para finalmente realizar una infección RAT (Remote Access Trojan).

Lo curioso acerca de este ataque en particular es que usa un enfoque que Mertens nunca había encontrado antes, el archivo aprovecha una funcionalidad de Microsoft Word que automáticamente actualiza las ligas incluidas en un archivo en el momento que este se abre.

“El vector de infección es clásico: El documento (N_Order#xxxxx.docx, con 5 números aleatorios) es recibido como un archivo adjunto, este archivo tiene una puntuación VT de 12/59. Dentro del archivo podemos encontrar una liga a otro documento, el cual es el archivo RTF malicioso que intenta explotar la vulnerabilidad CVE 2017-0199”, Descubrió Mertens.

El archivo de Word intenta acceder al archivo RTF, y si lo logra, el nuevo archivo descarga un archivo JavaScript que crea un objeto Shell, esto ejecuta un comando PowerShell para finalmente descargar un archivo PE malicioso (El RAT NetWire).

Mertens dijo que la actualización de la liga era ejecutada sin la interacción del usuario o sin ningún mensaje para advertir al usuario de tal acción (cosa que no debería ocurrir en ningún caso). Pero el servicio de análisis de malware Malwr muestra que el archivo sí requiere de la aprobación del usuario para actualizar las ligas.

Ataques recientes usan enfoques similares

Investigadores de Trend Micro han encontrado recientemente que la vulnerabilidad CVE 2017-0199 ha sido usada por atacantes de otra manera.

En esos ataques, la forma en la que difundían el malware era la misma (un archivo adjunto en un correo electrónico), el archivo malicioso era una presentación de Power Point Open XML (PPSX), y las acciones que realiza el malware son similares (un troyano RAT con capacidades de registrar las teclas presionadas por el usuario). El malware puede realizar todas estas acciones con la ayuda de las características de animaciones de Power Point.

Finalmente, todo esto se parece a una forma relativamente nueva de enviar malware usando archivos de PowerPoint, que es usado por spammers. En ese caso la interacción de los usuarios era definitivamente requerida, la víctima tenía que mover el mouse sobre la liga que apuntaba al malware para que se iniciara la descarga.

“El paso del tiempo dirá si este nuevo vector de infección gana popularidad entre los criminales. El hecho de que no requiera el uso de macros es nuevo y fue una idea lista que todo se realice con solo la actividad del mouse”, notó el investigador de Malwarebytes Jérôme Segura. “No hay duda de que los atacantes van a continuar viniendo con nuevos giros para abusar del elemento humano.” ¿Quizás estos últimos ataques son la evolución de otros?

En todos los casos es muy obvio que los atacantes están apuntando a las compañías, y que su meta principal es obtener información que les permita robar dinero de las cuentas de las víctimas.

Artículos relacionados:

• Macro malware, campañas de propagación vigentes en México