Los investigadores han descubierto una nueva cepa de malware en documentos basada en macros que evade el descubrimiento permaneciendo inactivo cuando detecta un entorno de prueba.
El malware, según el investigador Caleb Fenton y la firma de seguridad SentinelOne, evade la detección simplemente contando el número de documentos (o la falta de ellos) que residen en un PC y no se ejecuta si un cierto número no están presentes.
Fenton, quien descubrió el malware después de varios intentos fallidos para desencadenar la actuación maliciosa de la muestra, dijo que la falta de documentos en una máquina virtual y ambientes de prueba sandbox hacen que sea fácil, en este caso, para los autores de malware volar bajo el radar.
“Si el malware puede ser lo suficientemente inteligente para saber cuando está siendo probado en una máquina virtual, se puede evitar hacer algo sospechoso o malicioso y por lo tanto aumentar el tiempo que toma ser detectado por este tipo de herramientas”, dijo Fenton en un blog delineando su investigación.
Un entorno de prueba generalmente consiste en una imagen limpia con Windows cargado en un entorno de máquina virtual. La imagen del sistema operativo por lo general carece de documentos y otros signos reveladores de uso del mundo real, dijo Fenton. La muestra de malware que encuentro Fenton (“Intelligent doc Software Solutions Inc [.]”) busca documentos existentes en el equipo destino.
Si no se encuentran documentos de Microsoft Word, la ejecución del código VBA termina, protegiendo el malware del análisis automático y detección. Alternativamente, si hay más de dos documentos de Word en el sistema de destino, la macro descargará e instalará el payload del malware.
El documento con malware se distribuye a través de campañas de spam o phishing, según SentinelOne. El documento de Word malicioso busca y se aprovecha de una característica de Windows llamada RecentFiles. La característica, como su nombre indica, lista y proporciona un fácil acceso a los documentos vistos o creados.
Cuando se detectan documentos a través de RecentFiles, el malware supone que el sistema es un objetivo válido y entra en acción disparando un script de PowerShell que une la PC de la víctima a un servidor de comando y control para descargar un keylogger de sistema de bajo nivel.
En otra técnica de ofuscación, el malware utiliza un servicio web detección de IP (Maxmind) para determinar la red utilizada por el sistema de destino. La dirección IP es una referencia cruzada con una lista de direcciones IP en la lista negra ligadas a empresas de seguridad tales como BlueCoat, Palo Alto y otros. Esas direcciones IP están marcadas y se detiene la ejecución del malware cuando son detectadas, de acuerdo con Fenton.
Fuente:https://www.seguridad.unam.mx/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad