Investigadores de seguridad en HP Wolf Security administrado para aislar una campaña de malware que utilizó archivos de texto de OpenDocument para su distribución. Esta campaña en particular fue parte de una más grande que estaba dirigida a la industria hotelera en varios países de América del Sur que incluían Brasil, Argentina, Chile, Perú, Colombia y Costa Rica.

credito de imagen: Investigación de amenazas de HP

Lo que hace que esta campaña de malware en particular sea interesante es el uso de archivos de texto OpenDocument en el ataque. Todas las principales aplicaciones de oficina, incluidas Microsoft Office, LibreOffice y Apache OpenOffice, admiten el formato, lo que lo convierte en un formato ideal para llevar a cabo ataques.

Dado que se usa con menos frecuencia en ataques de malware, es un formato de archivo del que los usuarios de computadoras pueden desconfiar menos. Los correos electrónicos con archivos adjuntos de documentos de Office, documentos PDF o incluso archivos ejecutables se usan comúnmente y los usuarios pueden ser más conscientes del peligro potencial de estos documentos.

Los actores de amenazas hicieron referencia a objetos alojados de forma remota en el documento, pero no incluyeron ninguna macro; esto se hizo para evadir la detección, ya que los motores antivirus pueden marcar documentos que utilizan macros.

Los investigadores descubrieron la campaña de malware a fines de junio y notaron que los documentos maliciosos de OpenDocument no fueron detectados por ninguno de los motores antivirus de VirusTotal en la primera semana de julio.

Correos electrónicos de solicitud de reserva falsos

Los atacantes utilizaron solicitudes de reserva falsas en correos electrónicos para llamar la atención de los empleados del hotel. Los archivos maliciosos de OpenDocument se adjuntaron a los correos electrónicos y se diseñaron para que parecieran solicitudes legítimas. En un correo electrónico, el título del documento sugería que se trataba de una solicitud de reserva.

El documento se abrió en el programa de Office que se configuró como el controlador de archivos predeterminado para el formato de Office cuando el usuario hizo clic en él. Cuando se cargó el documento, se mostró un mensaje de error que solicitó al usuario que actuara. Mostró un mensaje críptico: este documento contiene campos que pueden hacer referencia a otros archivos. ¿Desea actualizar los campos de este documento? – con opciones de sí y no.

Al seleccionar «sí», se abrió una hoja de cálculo de Excel en el sistema. La hoja de cálculo de Excel incluía una macro. La mayoría de los programas de Office impiden la ejecución de macros de forma predeterminada, pero brindan a los usuarios opciones para habilitar la macro.

Luego se mostró otro mensaje en la aplicación de hoja de cálculo, por ejemplo, Microsoft Excel, que solicitó al usuario que habilitara las macros. La selección de «habilitar macros» desencadenó la cadena de infección, lo que condujo a la infección de la computadora con la carga útil AsyncRAT.

Microsoft planea bloquear las macros en los documentos de Office que provienen de Internet de manera predeterminada en el futuro y eliminar el aviso de «habilitar» para estos documentos. Si bien los usuarios aún pueden habilitar macros para documentos específicos, hacerlo requiere más trabajo y debería evitar la ejecución accidental de documentos con macros para la mayoría de los usuarios en el futuro.

La cadena de infección

habilitar macros campaña de malware
credito de imagen: Investigación de amenazas de HP

Los archivos OpenDocument no se usan con frecuencia en campañas de malware. El documento que se utilizó en la campaña no incluía ninguna macro, oculta o no, cuando se analizó. Los investigadores de seguridad de HP descubrieron que el documento hacía referencia a objetos de vinculación e incrustación de objetos (OLE) alojados de forma remota. Uno de los documentos analizados hacía referencia a 20 objetos alojados de forma remota.

Los objetos a los que se hace referencia se descargaron desde la ubicación remota a la que se hace referencia cuando el usuario seleccionó la opción «sí» después de abrir el documento que se adjuntó al correo electrónico. Las descargas incluían hojas de cálculo de Excel, que incluían macros. Luego, la aplicación de Office solicitó al usuario que habilitara las macros o las mantuviera deshabilitadas.

La macro que forma parte de los documentos de Excel utiliza la herramienta mshta.exe de Windows para descargar y ejecutar código de Internet. Las cosas comienzan a acelerarse a partir de ahí, ya que se ejecutó una «cadena compleja de PowerShell, VBScript y scripts por lotes». Al final, el troyano de acceso remoto de código abierto AsyncRAT fue decodificado y ejecutado.

El malware crea una tarea programada en un intento de hacer que la infección sea persistente. La tarea está diseñada para lanzar el malware en intervalos de dos horas.

Conclusión

Los atacantes siempre buscan formas sigilosas de entregar malware que evade la seguridad de los endpoints. Esta campaña ilustra cómo se puede abusar de los archivos de texto de OpenDocument para entregar malware a través de referencias OLE externas con tasas de detección extremadamente bajas.

Como la mayoría de las campañas de malware, esta campaña requiere que las víctimas se activen. La víctima tiene que abrir el archivo adjunto incluido y responder a dos indicaciones diferentes antes de que el malware real se descargue y ejecute en el sistema. Cancelar o negar cualquiera de las indicaciones detendría el ataque antes de que realmente comience.

Sorprende que los correos electrónicos externos a la organización que contienen documentos con archivos adjuntos sigan siendo un vector de ataque viable después de todos estos años.

El uso de formatos de archivo OpenDocument sirve para varios propósitos. Los empleados pueden estar capacitados para buscar ciertos formatos de archivo en los archivos adjuntos de correo electrónico, pero probablemente no los archivos .odt u otros archivos de OpenDocument. El archivo en sí no contiene macros, que los motores antivirus pueden detectar y bloquear automáticamente o advertir a los usuarios.

El hecho de que ningún motor antivirus haya detectado el archivo OpenDocument utilizado en la campaña como malicioso durante más de una semana confirma que el método evasivo funcionó. Los investigadores de seguridad de HP encontraron una segunda campaña en julio que usaba un documento de Microsoft Word en lugar de un archivo OpenDocument como archivo adjunto de correo electrónico. Casi la mitad de todos los motores antivirus en VirusTotal marcaron el documento de Microsoft Word.

Las organizaciones pueden mejorar sus defensas de varias maneras. Además de capacitar a los empleados y crear conciencia, que solo llega hasta ahí, se podrían implementar nuevas opciones defensivas para reducir el riesgo de infección. La ejecución de archivos adjuntos en entornos virtuales podría ser una opción viable, ya que evita la infección del sistema subyacente si el documento ejecutado es malicioso.

Los usuarios domésticos pueden usar máquinas virtuales o sandboxing para iniciar archivos adjuntos y archivos sospechosos sin correr el riesgo de infectar el sistema operativo subyacente. Se puede usar un programa como el Sandboxie Plus gratuito para ejecutar archivos en un entorno de espacio aislado. El uso de máquinas virtuales requiere pasos adicionales, como iniciar la máquina virtual cuando se necesita, pero proporciona protecciones similares.

Ahora tu: ¿abre los archivos adjuntos en los correos electrónicos?

Por Deyanira