El servicio contra el crimen da a las empresas otra razón para purgar …



Las campañas recientes de Trickbot y al menos tres troyanos bancarios comunes intentan infectar sistemas utilizando macros maliciosas en documentos de Microsoft Business creados con EtterSilent.

Un servicio contra el crimen brinda a los atacantes la capacidad de generar documentos maliciosos de Microsoft Term capaces de comprometer sistemas con ataques difíciles de detectar, lo que subraya el peligro continuo que representan las macros, según un nuevo análisis de la firma de inteligencia de amenazas Intel471.

El servicio, conocido como EtterSilent, se ha vuelto rápidamente well-known entre los grupos de ciberdelincuencia y permite a los atacantes crear archivos de Phrase que se hacen pasar por documentos de DocuSign pero, en realidad, pueden comprometer los sistemas utilizando macros o explotando una vulnerabilidad conocida. Los sistemas Windows configurados para permitir la ejecución de macros, o que no han sido parcheados para la vulnerabilidad específica, están en riesgo de archivos creados por el servicio.

Si bien la mayoría de las empresas tienen restricciones en las macros, y de forma predeterminada, Microsoft configura las macros para que se deshabiliten con una notificación, los usuarios a menudo pueden activar la ejecución de macros, y solo comprometer algunos de esos objetivos vale la pena para los atacantes, dice Brandon Hoffman. , director de seguridad de la información de Intel471.

«Es un juego de números», dice Hoffman. «Si hago estallar esto a 10,000 personas, puedo obtener 100 visitas y lo consideraría un éxito, porque esas víctimas pueden monetizarse. Y, si alguna de esas víctimas trabaja en una gran empresa, entonces eso es un premio gordo».

Las macros han plagado la ciberseguridad durante décadas. En 1999, el primer infectador de correo electrónico generalizado, el virus Melissa, utilizó un documento de Term con una macro para infectar sistemas y enviarse a otras personas en la libreta de direcciones de la víctima. El año pasado, los investigadores descubrieron que los ciberdelincuentes utilizaban cada vez más las macros de Excel 4. como una forma de ejecutar scripts de ataque. Las macros de Microsoft Office environment también pueden afectar la seguridad de las Mac, si el atacante atraviesa algunas capas de seguridad.

El problema con el enfoque precise de Home windows a las macros – etiquetado por Microsoft como «deshabilitado por notificación» – es que los usuarios generalmente pueden activar la ejecución de macros, si el documento malicioso, o maldoc, es capaz de convencerlos de su autenticidad. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido recomendó en 2019 que las empresas encuentren formas de eliminar las macros de sus sistemas.

«Las versiones recientes de Microsoft Business office tienen macros habilitadas de forma predeterminada, pero confía en que el usuario haga clic en un botón antes de que se pueda ejecutar cualquier macros». el NCSC declaró en las recomendaciones. «Es relativamente sencillo engañar al usuario para que haga clic en este botón, por lo que no se puede confiar en él como mitigación».

La preocupación de Intel471 es que a medida que EtterSilent se vuelve más preferred entre los atacantes, más empresas se verán atacadas. El servicio EtterSilent permite a los usuarios crear documentos con macros, la opción más común, o con un exploit para una vulnerabilidad de Phrase anterior. Los operadores del servicio también utilizan técnicas evasivas para crear variantes que los sistemas basados ​​en firmas no detectan fácilmente. Enviar los documentos a VirusTotal con frecuencia da como resultado que muy pocos o ningún escáner anti-malware detecten realmente el maldoc, afirmó Intel471 en una publicación de site.

En el caso de EtterSilent, el servicio es «bastante barato», dice Hoffman, y su construcción cuesta solo unos pocos dólares. Hasta ahora, la compañía ha visto documentos de EtterSilent enviados como spam como parte de una campaña de Trickbot, así como tres troyanos bancarios: BokBot, Gozi ISFB y QBot.

«El uso generalizado de EtterSilent muestra cómo la mercantilización es una gran parte de la economía del delito cibernético», la compañía declaró en su publicación de site. «Diferentes actores se especializan en sus áreas respectivas, ya sea hosting sólido, infraestructura de spam, creadores de maldoc o malware como servicio, y encuentran formas de aprovechar los productos de los demás en servicios trabajando juntos».

El servicio de creación de documentos muestra cómo están evolucionando los servicios de ciberdelincuencia y cómo la especialización de los atacantes en diferentes grupos y conjuntos de habilidades puede resultar en servicios básicos. Las macros del documento intentarán descargar una carga útil y ejecutar el código a través de los servicios de Windows existentes, una técnica a la que se hace referencia como «vivir de la tierra».

Para las empresas, la existencia del servicio debe poner de ease que las macros deben eliminarse gradualmente y los usuarios deben capacitarse regularmente sobre las amenazas de seguridad.

«Cuanto más sepa sobre cualquiera de estos ataques y cuanto más diseccione el origen del ataque, más podrá poner sus medidas defensivas en un lugar para defenderse de él», dice Hoffman. «Puede reducir la posibilidad inicial de que el documento llegue incluso a sus usuarios».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Studying, MIT&#39s Technology Critique, Well known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic