ARCHIVOS DE EXCEL UTILIZADOS PARA PROPAGAR MALWARE

Fecha actualización el 2017-3-9. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio Fuente: securitynewspaper, fortinet

Los archivos de excel estan volviendo a la popularidad por ser trasmisores de malware

Aqui teneis una serie de muestras de correo electrónico con archivos adjuntos de Excel (.xls), .xlsm que propagan malware malicioso al ejecutar VBA (Visual Basic for Applications) de código.

VBA es un lenguaje de programación utilizado por Microsoft Office. Normalmente, VBA se utiliza para desarrollar programas para Excel para realizar algunas tareas.

Aqui teneis un ejemplo de malware en un archivo excel

Cuando el archivo infectado se abre en Excel, aparece un mensaje que pide al usuario activar la opción de seguridad de macros haciendo clic en el botón "Habilitar contenido". Una vez activada la función de macro, se ejecuta el código VBA malicioso dentro de la muestra

El archivo de este ejemplo es un archivo en formato Excel OLE que se recogió el 27 de febrero de 2017. Su nombre original es "payment.xls", que fue detectado como virus de "WM/Agent.D9E2! Tr.dldr" por Fortinet porque contiene código VBA malicioso.

Archivos de excel

Como se puede ver en el código VBA anteriormente, existe una función llamada "Auto abrir", que se llama automáticamente cuando se abre el archivo en Excel. Sobre la base de otras muestras basadas en VBA malintencionados, las funciones de "ShellExecute", "Shell", "WScript.Shell", y "Ejecutar" se llaman generalmente para ejecutar comandos de DOS. En este ejemplo, la función "Shell" se llama en la parte inferior para ejecutar el comando malicioso.

Este código VBA es fácil de entender. En primer lugar, se crea algunas matrices con nombres cortos llamando a la función de matriz. En segundo lugar, genera algunas cadenas mediante la concatenación de elementos de las matrices por sus índices. Por último, se pone las cadenas juntas en un orden especial para generar la cadena de comandos final.

En realidad, este es un tipo de técnica de ofuscación de código utilizado para evitar su detección. La cadena final es el comando malicioso que había sido ejecutado por la función de "Shell". En esta muestra, el primer parámetro "ugsubpox" sostiene la cadena de comandos.

cadena en el ugsubpox variables

Se ve raro debido a la ofuscación de código. Podemos ver un comando de DOS que ejecuta llamando cmd.exe. Hay muchos '^' símbolos en este orden, pero podemos hacer caso omiso directamente porque '^' en DOS shell es el carácter de escape. Así, después de retirar todos los símbolos '^' y cambiar todos los caracteres en minúsculas porque los comandos de Windows no distinguen entre mayúsculas y minúsculas, la cadena se ve más claro y es más fácil de entender:

cadena en el ugsubpox variables

"Cmd.exe / c" se inicia la ejecución de un nuevo shell cmd, al ejecutar el comando especificado por la cadena, y darlo por terminado. Como resultado, la ejecución de este comando descargará un archivo .exe en "%appdata% .exe" y ejecutarlo.

De hecho, el archivo .exe descargado es un programa de descarga de software malicioso Dyzap. Más tarde, se descargará otro archivo .exe llamado "paray.txt", la nueva variante de Dyzap, y ejecutarlo para mantener credenciales que roban de los sistemas infectados. Por último, los datos de credenciales robadas se cifra y se envía a su servidor de C & C.


Comenta y comparte en Compartir en Google+
Archivos de excel