“Deshabilita los macros y siempre se cuidadoso al
reactivarlos manualmente mientras abres documentos de la suite ofimática de
Microsoft, Office”
Es posible que hayas oído hablar de las advertencias de
seguridad mencionadas anteriormente en Internet, ya que los hackers suelen
aprovechar esta técnica de hacking basada en macros que datan de hace más de
una década, para hackear los equipos a través de archivos de Microsoft Office
diseñados especialmente con este propósito, adjuntos a correos basura.
Pero un nuevo ataque de ingeniería social ha sido
descubierto, el cual no requiere que el usuario habilite los macros; en vez de
eso ejecuta el malware en el sistema objetivo usando comandos PowerShell incrustados
dentro de un archivo de PowerPoint (PPT).
Además, el código Powershell escondido dentro del documento
se dispara tan pronto como la victima mueve el mouse alrededor de un link, se descarga una “carga explosiva” en la maquina afectada -Incluso
sin ni siquiera hacer clic sobre él.
Los investigadores de la firma de seguridad SentinelOne han
descubierto que un grupo de delincuentes informáticos está usando archivos
maliciosos de PowerPoint para distribuir un troyano bancario llamado Zusy, aunque
también es conocido como “Tinba” (Tiny Banker).
Descubierto en 2012, Zusy es un troyano bancario que se
dirige a sitios web financieros y tiene la capacidad de husmear en el tráfico
de la red y realizar ataques Man-in-The-Browser para inyectar formularios
adicionales en sitios bancarios reales, solicitando a las víctimas compartir
datos más sensibles como números de tarjeta de crédito, TAN y tokes de
autenticación.
"Una nueva variante de un malware llamado 'Zusy' se ha encontrado propagándose en el ecosistema informático en forma de un archivo de PowerPoint adjunto a correos electrónicos de spam con títulos como 'Orden de Compra # 130527' y 'Confirmación'. Es interesante porque no requiere que el usuario habilite las macros para ejecutarse ", dijeron los investigadores de SentinelOne Labs en su blog.
Cuando un usuario pasa el cursor sobre el enlace,
automáticamente este intenta activar el código de Powershell, pero la
característica de seguridad de vista protegida que viene habilitada de forma
predeterminada en la mayoría de las versiones compatibles de Office, incluyendo
Office 2013 y Office 2010, muestra una advertencia bastante explicita y
solicita que el usuario decida si habilitará o deshabilitará el contenido.
Si el usuario ignora esta advertencia y permite que el
contenido sea visto, el programa malicioso se conectará a la URL
"cccn.nl", desde donde descarga y ejecuta un archivo, que es
eventualmente responsable de la entrega de una nueva variante de el troyano
bancario llamado Zusy.
Otro investigador de seguridad, llamado Rubén Daniel Dodge,
también analizó este nuevo ataque y confirmó que este no depende de Macros, JavaScript
o VBA para ejecutarse.
"Esto se logra mediante una definición de elemento para una acción de volteo. Esta acción de volteo se configura para ejecutar un programa en PowerPoint una vez que el usuario se desplaza sobre el texto. En la definición de recursos de slide1 'rID2' se define como un hipervínculo donde el objetivo es un comando de Powershell ", dijo Dodge.
La empresa de seguridad también dijo que el ataque no
funciona si el archivo malicioso se abre en PowerPoint Viewer, el cual se niega
a ejecutar el programa. Pero la técnica todavía podría ser funcional en algunos
casos.
Sign up here with your email
ConversionConversion EmoticonEmoticon