Escrito por Jyothi Naveen y Kiran Raj
McAfee Labs ha estado observando un aumento en las campañas de phishing que utilizan las capacidades de macro de Microsoft Office. Estos documentos maliciosos llegan a las víctimas a través de campañas masivas de correo electrónico no deseado y generalmente invocan urgencia, miedo o emociones similares, lo que lleva a los usuarios desprevenidos a abrirlos rápidamente. El propósito de estas operaciones de spam es entregar cargas maliciosas a tantas personas como sea posible.
Una campaña de spam reciente estaba usando documentos de texto maliciosos para descargar y ejecutar el troyano Ursnif. Ursnif es un troyano de alto riesgo diseñado para registrar diversa información confidencial. Por lo general, archiva estos datos confidenciales y los envía de regreso a un servidor de comando y control.
Este blog describe cómo los atacantes usan las propiedades de los documentos y algunas otras técnicas para descargar y ejecutar el troyano Ursnif.
Resumen de amenazas
- El vector de ataque inicial es un correo electrónico de phishing con un documento adjunto de Microsoft Word.
- Al abrir el documento, VBA ejecuta un shellcode malicioso
- Shellcode descarga la carga útil remota, Ursnif, e invoca rundll32.exe para ejecutarlo.
Cadena de infección
El malware llega a través de un correo electrónico de phishing que contiene un documento de Microsoft Word como archivo adjunto. Cuando se abre el documento y se habilitan las macros, Word descarga una DLL (carga útil de Ursnif). La carga útil de Ursnif luego se ejecuta usando rundll32.exe
Análisis de palabras
Las macros están deshabilitadas de forma predeterminada y los autores del malware son conscientes de ello y, por lo tanto, presentan una imagen para atraer a las víctimas para que las habiliten.
Análisis macro VBA de documento de Word
El análisis de la muestra de forma estática con ‘oleId’ y ‘olevba’ indica los vectores sospechosos.
La macro VBA es compatible con las arquitecturas x32 y x64 y está muy ofuscada, como se ve en la Figura 5
Para obtener una mejor comprensión de la funcionalidad, hemos eliminado la ofuscación del contenido en las 2 figuras que se muestran a continuación.
Una característica interesante de este ejemplo es que algunas de las cadenas como CLSID, URL para descargar Ursnif y nombres de variables de entorno se almacenan en propiedades de documentos personalizados al revés. Como se muestra en la Figura 7, la función de VBA «ActiveDocument.CustomDocumentProperties()» se usa para recuperar las propiedades y usa «StrReverse» para invertir el contenido.
Podemos ver las propiedades del documento en la Figura-8
Descarga y ejecución de la carga útil:
La macro maliciosa recupera el código de shell oculto de una propiedad personalizada llamada «Compañía» utilizando la función «cdec» que convierte el código de shell de cadena a valor decimal/hexadecimal y lo ejecuta. El código shell se muestra a continuación.
Él código de shell es escrito para la memoria y la protección de acceso se cambia a PÁGINA_EJECUTAR_LEER ESCRIBIR.
Después agregando el shellcode en la memoria, la variable de entorno que contiene el malicioso URL de Ursnif se crea la carga útil. Esta variable de entorno será más tarde utilizado por el shellcode.
El shellcode se ejecuta con el uso de la API SetTimer. SetTimer crea un temporizador con el valor de tiempo de espera especificado mencionado y notifica a una función cuando transcurre el tiempo. los 4el El parámetro utilizado para llamar a SetTimer es el puntero al shellcode en la memoria que se invocará cuando transcurra el tiempo mencionado.
El shellcode descarga el archivo de la URL almacenada en la variable ambiental y lo almacena como «y9C4A.tmp.dll» y lo ejecuta con rundll32.exe.
| URL | hxxp://docmasterpassb.top/kdv/x7t1QUUADWPEIQyxM6DT3vtrornV4uJcP4GvD9vM/ |
| CMD | rundll32 “C:\Usuarios\usuario\AppData\Local\Temp\y9C4A.tmp.dll”,DllRegisterServer |
Después de la ejecución exitosa del shellcode, se elimina la variable de entorno.
COI
| TIPO | VALOR | PRODUCTO | NOMBRE DE DETECCIÓN |
| Documento principal de Word | 6cf97570d317b42ef8bfd4ee4df21d217d5f27b73ff236049d70c37c5337909f | McAfee LiveSafe y Protección Total | X97M/Descargador.CJG |
| DLL descargado | 41ae907a2bb73794bb2cff40b429e62305847a3e1a95f188b596f1cf925c4547 | McAfee LiveSafe y Protección Total | Ursnif-FULJ |
| URL para descargar dll | hxxp://docmasterpassb.top/kdv/x7t1QUUADWPEIQyxM6DT3vtrornV4uJcP4GvD9vM/ | Asesor web | Obstruido |
Marco de ataque MITRE
| Identificación de la técnica | Táctica | Detalles de la técnica | Descripción |
| T1566.001 | Acceso inicial | Adjunto de phishing selectivo | Ejecución manual por el usuario |
| T1059.005 | Ejecución | básico visual | Macros maliciosas de VBA |
| T1218.011 | Evasión de defensa | Abuso binario firmado | Se utiliza Rundll32.exe |
| T1027 | Evasión de defensa | Técnicas de ofuscación | Ejecuciones VBA y powershell base64 |
| T1086 | Ejecución | Ejecución de Powershell | Abuso de comandos de PowerShell |
Conclusión
Las macros están deshabilitadas de forma predeterminada en las aplicaciones de Microsoft Office, sugerimos mantenerlas así a menos que el documento se reciba de una fuente confiable. La cadena de infección discutida en el blog no se limita a Word o Excel. Otras amenazas pueden usar otras herramientas de vida fuera de la tierra para descargar sus cargas útiles.
Los clientes de McAfee están protegidos contra los archivos y sitios maliciosos detallados en este blog con McAfee LiveSafe/Total Protection y McAfee Web Advisor.
La publicación Campañas de phishing con Ursnif Trojan on the Rise apareció primero en McAfee Blog.
