La novedosa técnica de distribución implica el envío de documentos de Word que pueden eludir el escaneo de malware convencional. La nueva técnica de malware Zloader dificulta la detección de los correos electrónicos de phishing.
Se ha descubierto que los piratas utilizan una nueva técnica de phishing que implica el uso de una secuencia de comandos encadenados para ocultar contenido malicioso. Después hacen que los archivos adjuntos de correo electrónico parezcan inofensivos para los filtros.
La técnica consiste en enviar un correo electrónico que contiene un archivo adjunto de Microsoft Word aparentemente inofensivo, según McAfee. Una vez abierto, desencadena una cadena de eventos que finalmente descarga la carga útil del malware bancario y de exfiltración de datos, conocido como Zloader.
La nueva técnica de malware Zloader dificulta la detección de los correos electrónicos de phishing
El hecho de que el documento no esté incrustado con ningún código malicioso facilitará que los correos electrónicos de suplantación de identidad pasen por alto las comprobaciones iniciales.
Los investigadores han notado que los usuarios sólo son susceptibles a la infección si las macros están habilitadas. Estas son las que el ataque de phishing utiliza para activar una serie de comandos una vez que abrimos el documento de Word.
Las macros están deshabilitadas de forma predeterminada en Microsoft Office, por lo que el documento de Word en sí, contiene un señuelo diseñado para engañar a los usuarios para que habiliten las macros. Alegan que si no lo hacen, el archivo no se cargará correctamente.
Cuando se abre el documento en cuestión con las macros activadas, el documento descarga y abre otro documento de Excel esta vez, protegido con contraseña y conectado a un servidor online.
El documento de Word contiene componentes que almacenan el contenido necesario para conectarse al documento Excel. La URL se almacena en esos componentes en forma de cadenas rotas, que se combinan más tarde para formar una cadena completa.
Ofuscación y sigilo
Después, el código intenta descargar y abrir el archivo Excel almacenado en el dominio malicioso. Luego de extraer el contenido de las celdas de Excel, el archivo Word crea un módulo de Visual Basic para Aplicaciones (VBA) en el archivo Excel descargado escribiendo el contenido recuperado. Básicamente, recupera el contenido de la celda y lo escribe en macros XLS.
Una vez que la macro está formada y lista, modifica un RegKey para deshabilitar el acceso de confianza para VBA en el dispositivo de la víctima para ejecutar la función maliciosa sin ninguna advertencia de Microsoft Office. Después de escribir el contenido en el Excel y deshabilitar el acceso seguro, se llama a una función de VBA de Excel recién escrito que descarga la carga útil de Zloader.
«Los documentos maliciosos han sido un punto de entrada para la mayoría de familias de malware. Estos ataques han ido evolucionando sus técnicas de infección y ofuscación. No sólo se limitan a las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar la carga útil.» Esto lo explicaban los investigadores de McAfee Kiran Raj y Kishan N.
«El uso de tales agentes en la cadena de infección no sólo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas que descargan las cargas útiles. Debido a problemas de seguridad, las macros están deshabilitadas de forma predeterminada en Microsoft Office. Sugerimos que es seguro habilitarlos sólo cuando el documento proviene de una fuente confiable».