LOCKY VUELVE A LA CARGA USANDO FICHEROS .DOCM DE MS WORD PARA PROPAGARSE

Durante las √ļltimas semanas estamos observando c√≥mo no cesan de aparecer nuevas variantes de ransomware de todo tipo. Muchas de ellas han sido creadas por delincuentes con ganas de obtener beneficios r√°pidamente, pero afectan a relativamente pocos usuarios.

Las variantes de ransomware m√°s peligrosas siguen siendo aquellas que evolucionan constantemente y adem√°s consiguen alcanzar a un elevado n√ļmero de usuarios, tal y como hemos observado esta semana con la √ļltima campa√Īa de propagaci√≥n de Locky.

DE NUEVO, UN EMAIL

Viendo que la propagación de amenazas por medio del correo electrónico sigue dando buenos resultados, durante esta semana no hemos cesado de recibir correos en blanco con un fichero adjunto, correos que muchas veces suplantaban direcciones de correo de empresas legítimas, incluso correos internos, algo que ayuda a ganarse la confianza de la víctima a pesar de no tener un asunto claro o que el cuerpo del mensaje esté en blanco.

docm9b

Y es que, por desgracia, no hace falta mucho m√°s para que a un usuario medio le pique la curiosidad y ejecute el fichero adjunto. Adem√°s, ¬Ņqui√©n va a sospechar de un fichero aparentemente inofensivo que se abre con el conocido MS Word de Office?

La extensión del fichero es .docm, algo que a primera vista puede llegar a confundirlos con los conocidos .doc. Este tipo de ficheros permiten ejecutar macros y almacenar texto con formato, imágenes, formas, etc., además de poder comprimir información usando los formatos .xml y .zip. A continuación podemos ver cómo el sistema identifica este tipo de ficheros para ser abierto con MS Word 2007 o superior.

docm1b

La gran cantidad de correos recibidos durante esta semana con estos ficheros ofim√°ticos maliciosos adjuntos ha hecho que esta variante ocupe los primeros puestos en nuestro top 10 de detecci√≥n de amenazas, desplazando al tercer puesto a las campa√Īas de propagaci√≥n anteriores que utilizaban ficheros JavaScript comprimidos en un archivo .zip.

docm10b

DISECCIONANDO EL MALWARE

Para asegurarnos de que este fichero aparentemente inofensivo contiene algo sospechoso, podemos enviarlo a alg√ļn servicio como Virustotal para que lo analice y confirme nuestras sospechas. En este caso, podemos ver que, efectivamente, dentro de este fichero se encuentran comprimidos varios ficheros .xml, .rels y un .bin, que ser√° el que analizaremos con m√°s detalle.

Tambi√©n vemos que el documento permite ejecutar las macros que hemos mencionado anteriormente e incluso datos acerca de la creaci√≥n del fichero, como, por ejemplo, su fecha de creaci√≥n y el usuario que lo gener√≥, en este caso, un tal ‚ÄúAlex‚ÄĚ.

docm4b

Con esta informaci√≥n podemos ponernos manos a la obra y tratar de extraer los ficheros que este primer an√°lisis ha revelado. Para ello utilizaremos una herramienta como OfficeMalScanner, con la que podremos analizar el fichero .docm en b√ļsqueda de macros maliciosas y extraer cualquier fichero comprimido que pudiera contener.

Ejecutando esta herramienta con el par√°metro ‚Äúinflate‚ÄĚ podremos obtener los numerosos ficheros .xml, .rels y el archivo .bin que m√°s nos interesa para poder analizarlo.

docm2b

Por otro lado, podemos obtener m√°s informaci√≥n acerca del fichero .docm en otra web de an√°lisis online muy √ļtil como es malwr.com. En esta web podemos obtener informaci√≥n a partir de la ejecuci√≥n de la muestra en una sandbox, con lo que podremos obtener informaci√≥n acerca de si el malware intenta conectarse a alguna IP.

docm5b

En este caso vemos c√≥mo este c√≥digo malicioso se conecta a una direcci√≥n IP, direcci√≥n que pertenece a una web de una cl√≠nica oftalmol√≥gica coreana. Como hemos visto en campa√Īas recientes de Locky, esta t√©cnica es utilizada para alojar las diversas variantes de este ransomware. De esta forma, los delincuentes evitan filtros que se encargan de monitorizar listas negras de URLs y bloquear el acceso a estas webs maliciosas, al menos durante un tiempo.

docm7b

En lo que respecta a esta web en concreto, podemos ver que durante los √ļltimos d√≠as ha tenido una actividad bastante intensa alojando varias muestras de Locky, tal y como podemos observar gracias al servicio de an√°lisis de URLs de Virustotal.

docm6b

También mediante Virustotal podemos ver cómo los diferentes motores antivirus han ido detectando estas muestras y muchos coinciden en clasificarlas como una variante de la familia de ransomware Locky.

docm8b

CONCLUSI√ďN

Desde su retorno a mediados de junio tras tomarse unas semanas de descanso, Locky ha sido uno de los ransomware que m√°s quebraderos de cabeza est√° causando. Adem√°s, sus creadores no se limitan a lanzar campa√Īa tras campa√Īa, sino que van cambiando las t√©cnicas usadas para obtener un mayor n√ļmero de v√≠ctimas.

Los mismos consejos que hemos mencionado en campa√Īas de propagaci√≥n de ransomware anteriores sirven perfectamente para esta: evitar abrir ficheros adjuntos o pulsar sobre enlaces que encontramos en correos en los que no confiemos al 100 %, o aplicar medidas que limiten los permisos con los que cuentan los usuarios a la hora de ejecutar cierto tipo de archivos o acceder a recursos compartidos.

A las soluciones de seguridad debidamente configuradas y actualizadas se les pueden¬†a√Īadir reglas que aumenten la probabilidad de detecci√≥n. Si adem√°s nos encontramos en un entorno corporativo, har√≠amos bien en¬†adoptar ciertas medidas preventivas¬†que ayuden a mitigar este tipo de ataques.

Fuente:http://blogs.protegerse.com/