qkG Ransomware cifra documentos de Word y los oculta a través de macros

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Los ataques de ransomware es algo que por desgracia ha aumentado mucho en los últimos tiempos. Los investigadores de seguridad han descubierto una nueva cepa ransomware llamada qkG que se dirige únicamente a documentos de Office para el cifrado e infecta la plantilla de documento predeterminada de Word para propagarse a nuevos documentos del mismo programa abiertos a través del paquete de Office en el mismo equipo.

qkG Ransomware

La buena noticia es que este ransomware aún está en desarrollo y todavía no ha afectado a ninguna víctima en el mundo real. El investigador de seguridad de Trend Micro, Jaromir Horejsi, detectó qkG a principios de mes en la montaña de archivos sospechosos cargados en el escáner de archivos VirusTotal de Google cada día.

qkG es una rareza en la escena del ransomware porque funciona de manera muy diferente a las amenazas similares. Una infección típica qkG pasa por los siguientes pasos:

Pasos

  • Paso 1: el usuario descarga y abre el documento de Word infectado.
  • Paso 2: el usuario hace clic en el botón “Habilitar edición” que permite la ejecución de macro scripts, que en este caso es un código VBA adjunto al documento.

qkG está completamente dentro del script macro, algo raro, ya que la mayoría de las amenazas de ransomware solo usan macros para descargar y ejecutar su binario principal.

  • Paso 3: el código qkG se ejecuta, pero no ocurre nada. Esto se debe a qkG utiliza la función onClose para ejecutar la parte maliciosa del código de macro (el verdadero ransomware qkG) cuando el usuario cierra el archivo de Word.

El autor de qkG podría haberse inspirado en una campaña de Locky que tuvo lugar durante el verano y que también utilizó la función onClose dentro de los scripts macro de Word para descargar y ejecutar el Locky ransomware.

  • Paso 4: el código malicioso que se ejecuta después de que el usuario cierra el archivo de Word infectado hace lo siguiente:
  1. Reduce varias configuraciones de seguridad de Office para que las macros se ejecuten automáticamente y la Vista protegida esté desactivada.
  2. Añade el código malicioso qkG ransomware a normal.dot, la plantilla estándar para todos los documentos de Word.
  3. Codifica el contenido del documento actual con un simple cifrado XOR.
  4. Añade una nota de rescate al final del documento actual. No cambia el nombre del documento ni la extensión del archivo. La nota de rescate se ve en la imagen de abajo.

Codifica la plantilla normal.dot

El mayor problema con qkG es que modifica la plantilla de normal.dot y le agrega una copia de ella. Esto significa que cada vez que los usuarios inician Word de nuevo, la plantilla normal.dot modificada con el código malicioso se carga y ejecuta, ejecutando el ransomware con cualquier otro usuario de archivos abierto, cifrando esos archivos también.

Si el usuario comparte uno de estos documentos con otros usuarios, si habilitan las macros, también infectarán su instancia de Word.

En el informe qkG de Trend Micro, Horejsi dice que detectó diferentes versionesde este ransomware cargado a lo largo del tiempo en VirusTotal.

Cada versión contenía nuevas características, algunas de las cuales ahora están siendo utilizadas por la última versión, mientras que otras permanecieron inactivas o se eliminaron.

Es bastante evidente que qkG es un ransomware en desarrollo porque las primeras versiones ni siquiera incluían una dirección de Bitcoin donde los usuarios podían pagar la tarifa del rescate.

Fuente:https://www.redeszone.net/2017/11/23/qkg-ransomware-cifra-documentos-word-los-oculta-traves-macros/

(Visited 92 times, 1 visits today)
Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone