Los atacantes aprovechan el cifrado de archivos de Excel para entregar …



La técnica implica guardar archivos maliciosos de Excel como «solo lectura» y engañar a los usuarios para que lo abran, dice Mimecast.

Investigadores de Mimecast han observado recientemente una campaña en la que los actores de amenazas están utilizando un método poco común pero fácil de distribuir malware utilizando las capacidades de cifrado de archivos estándar de Microsoft Excel.

La táctica implica esencialmente que un actor de amenazas oculta código malicioso en un archivo de Excel, hace que el archivo sea de solo lectura y luego lo difunde por correo electrónico de phishing. El ataque aprovecha una contraseña predeterminada, «VelvetSweatshop», que está incrustada en Excel y puede usarse para cifrar y descifrar archivos de Excel, dijo Mimecast en un informe el miércoles.

Los usuarios que desean cifrar un archivo de Excel antes de enviarlo por correo electrónico deben bloquearlo con una contraseña. La contraseña actúa como clave de cifrado y clave de descifrado. Para desencriptar un archivo Excel bloqueado, el destinatario debe ingresar la misma contraseña que se usó para bloquearlo. Los actores de amenazas se han aprovechado durante algún tiempo de cómo funciona el proceso de cifrado y descifrado en Excel para distribuir malware, Dijo Mimecast.

El modus operandi típico ha sido ocultar el malware en un archivo de Excel, cifrar el archivo con una contraseña y luego distribuir el malware a través de correos electrónicos de phishing con la contraseña incluida en el contenido. Los usuarios que son engañados para abrir el archivo cifrado de Excel con la contraseña proporcionada terminan descargando malware en sus sistemas.

En la última campaña, los actores de amenazas están utilizando Excel para distribuir LimeRAT, un conocido troyano que puede usarse para descargar malware adicional en sistemas comprometidos. Pero en lugar de cifrar los archivos de Excel cargados de malware, los autores del malware los hacen «de solo lectura», dice Matthew Gardiner, director de campañas de seguridad empresarial en Mimecast.

«El atacante incrusta el código malicioso en el documento de Excel y guarda el archivo como de solo lectura», dice Gardiner. Esto hace que el archivo de Excel se cifre automáticamente usando VelvetSweatshop, la contraseña predeterminada que está incrustada en Excel, señala.

Cuando el archivo llega por correo electrónico de phishing, la ingeniería social en el correo electrónico alienta al destinatario a abrirlo, dice Gardiner. Si el usuario lo sigue, Excel primero intenta abrir el archivo cifrado con la contraseña predeterminada.

«Si eso funciona, sabe que el archivo está destinado a ser de solo lectura y lo abre como tal», dice Gardiner. En ese punto, el código malicioso incrustado en el archivo de Excel se ejecutará si el software de seguridad de punto closing en los dispositivos infectados no se interpone primero. Con la campaña LimeRAT, los delincuentes detrás de ella también han estado encriptando el contenido true de la hoja de cálculo para tratar de ocultar el exploit y la carga útil de los sistemas de detección de malware, dijo Mimecast.

Para que el último ataque tenga éxito, un usuario aún necesitaría hacer clic en el archivo adjunto malicioso de Excel, dice Gardiner. Pero al usar la técnica de solo lectura, los atacantes han eliminado la necesidad de que las víctimas reciban ingeniería social para ingresar una contraseña para abrir el archivo cifrado de Excel.

«Cualquier paso adicional le da más tiempo a la persona para pensar y crea fricción para el atacante», dice Gardiner. «Es related a limitar los pasos para usar un carrito de compras en línea en un sitio de comercio electrónico».

Gardiner dice que esta no es la primera vez que los adversarios emplean archivos Excel de solo lectura para implementar malware. La técnica ha aparecido periódicamente, pero generalmente en campañas asociadas con atacantes avanzados.

«Esta técnica continúa siendo aprovechada y utilizada en ataques cada vez más sofisticados centrados en malware», señala Gardiner. Su uso en la campaña LimeRAT demuestra cómo los ciberdelincuentes a menudo continúan explotando y construyendo sobre técnicas que podrían considerarse viejas, dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia initial