Ransomware Locky e infección a través de macros maliciosas

Investigando con la colaboración del Google la amenaza del malware por excelencia el ransomware (secuestro de información), muchos son los problemas que trae con el secuestro de archivos o del sistema, cifrando sus contenidos y las múltiples variables que se encuentran en el escenario informático.

Uno de los tantos conocidos es Locky, que se propaga por medio de correo electrónico, e incluso puede llegar redactado en varios idiomas. Contiene un troyano que si bien hoy es detectado por algunas soluciones de seguridad, aún sigue colándose en usuarios desprevenidos. Y lo más interesante, algunos downloader  como Nemucod  (el código malicioso responsable de descargar y ejecutar diversos tipos de malware, se valen de Locky).

Locky  puede ingresar al sistema de la víctima de diversas formas, pero en prácticamente todas necesita de la cooperación del user para la infección. Una de estas formas de infiltración es a través  de documentos  adjuntos con macros maliciosas, y  que una vez abierto solicita "habilitar  macro" para visualizar el archivo. Ejecutada esta acción  el troyano descarga el payload, esto es, el ransomware Locky.

Finalmente, se cifra en contenido de los archivos y se borra asimismo del sistema. Eso sí, deja instrucciones para recuperar los archivos infectados, cambiando el fondo de pantalla con el aviso de rescate, crear un archivo de imagen .bmp y uno de texto .txt que serán los que se abrirán para mostrar las indicaciones  para hacer el pago en bitcoins.

CitarLas extensiones que puede cifrar son más de 100, es decir, prácticamente todo lo que un equipo pueda tener almacenado: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. Todos son cifrados con la extensión ".locky".

A esto súmese, que  también  puede afectar a los archivos de la  red en el caso de dispositivos compartidos, propagándose asimismo.

Los amigos de We Live, analizan el proceso de infección de Locky hasta llegar al payload y nos dejan un esquema gráfico muy ilustrativo: desde que el user recibe el mail con el adjunto (que puede ser .DOC, .DOCM o .XLS); luego, este documento crea un archivo BAT que a su vez crea otro archivo con código VBScript, para finalmente, entre ambos, descargar la amenaza principal. Toda una maravilla  de la ingeniería del malware, que también hay que decirlo.


El esquema de infección -y como se dijo antes- se vale de documentos  que contienen macros maliciosas; por lo que antes de seguir avanzando hagamos un breve paréntesis para ver qué son y cómo funcionan las mismas.

¿Qué es una macro?

Son instrucciones  o comandos programados,  para automatizar o eliminar tareas repetitivas  en  aplicaciones ofimáticas.

En palabras de expertos:

Citar"Una macro es un conjunto de instrucciones comúnmente asociado a un documento. Es similar a un script, aunque su naturaleza se encuentra estrictamente ligada a un archivo de un programa específico, como por ejemplo a un documento de un procesador de textos. De esta forma, una macro podría encapsular comportamiento útil para dicho documento, como por ejemplo mostrar contenido dinámico.

Ahora, ¿puede este comportamiento tener fines maliciosos? La respuesta es contundente: sí."

En base a lo dicho, los documentos apócrifos  pueden contener virus de macro que son ejecutados al hacer clic en "habilitar contenido" y en el caso de Locky, se autojecuta el código que dará inicio a la infección como se observa en la imagen siguiente.



En la próxima imagen y en un análisis más profundo, se observa que permite

Citar"...obtener las macros que realizan la primera parte de la infección. Destacamos entre ellas tres líneas de código en particular, en donde se creará un archivo BAT con el nombre de "ugfdxafff.bat"; luego se observa la función "Write", que escribirá dentro de ese archivo código cifrado en base64, y por último la función "Shell" ejecuta el archivo BAT."

El archivo archivo BAT (ugfdxafff.bat) tiene como objetivo crear el archivo VBScript [ambos  trabajarán en conjunto (o en "equipo"  )], pasándole como parámetro una URL para descargar el payload  nombrado como asddddd.exe.

Por último, el archivo BAT ejecutará el ransomware con el comando start asddddd.exe y eliminará el VBS, como también se eliminará a sí mismo para remover cualquier tipo de evidencia en el sistema.

Esta concatenación de procesos se puede observar en la siguiente captura:


Más allá de lo interesante que resulta investigar los procesos del malware, tener las  macros deshabilitadas, parece ser una buena idea. Ojos atentos y dedo quieto con los clics!

El post se redactó en base a la lectura de distintas fuentes: UNAM del departamento informático de México, Panda Lab, Kaspersky Lab.  Las imágenes y las citas pertenecen a We Live Security.

Gabriela

Buen día Gaby.

A mi me paso este ataque en la empresa donde trabajo. Tenia la base de virus desactivada en este equipo principal y el usuario querido debe haber descargado algún archivo de office con macro y chau.. me infecto el ordenador local, 1 servidor y 3 ordenadores mas de usuarios. Creo que de los ransomware que vi este es uno de los mas peligrosos por que se propaga a pesar que tengas el antivirus activo y actualizado como me paso en el servidor y los otros 3 equipos. y no vi por el momento forma de descifrar dichos locky.

Gracias por la data, hace rato que vengo tratando de averiguar como me logre infectar.

Gabi,
Como siempre muy detallados, completos y visuales tus posts.
Me encantan!!

Gracias por aportar tanto a esta comunidad

Saludos

Gn0m3

Vaya,bastante interesante esto !!