Ocultar y crear secuencias de comandos: URL maliciosas insertadas dentro de los videos incrustados en los documentos de Office

Por: Michael Villanueva and Toshiyuki Iwata (Threats Analysts)

A fines de octubre de 2018, los investigadores de seguridad de Cymulate mostraron una prueba de concepto (PoC) que arrojaba un error lógico que permitía a los piratas informáticos abusar de la función de video en línea de Microsoft Office para entregar un malware. De hecho, identificamos una muestra detectada por Trend Micro como TROJ_EXPLOIT.AOOCAI en VirusTotal, utilizando este método para entregar al ladrón información URSNIF (TSPY_URSNIF.OIBEAO).

¿Cuál es el vector de infección del malware?

Dado que este tipo de ataque implica el uso de un documento de Word especialmente diseñado, podemos asumir que puede llegar al sistema de un usuario a través de otro malware o como un archivo adjunto o enlaces / URL en el correo no deseado.

La falla afecta a Microsoft Word 2013 y versiones posteriores. El PoC y el malware emplean el tipo de archivo DOCX utilizado en Microsoft Word, un archivo basado en lenguaje de marcado extensible (XML) que puede contener texto, objetos, estilos, formato e imágenes. Se almacenan como archivos separados y se empaquetan en un archivo DOCX comprimido / archivado en ZIP.

[image url=”/wp-content/uploads/2019/01/Figura-1-1-1024×425.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1024″ height=”425″]

Figura 1: Comparación de las cadenas de infección PoC (izquierda) y de la muestra en la naturaleza (derecha)

¿Cómo funciona el PoC y la muestra in-the-wild en el software malicioso?

El PoC y la muestra in-the-wild abusan de un error lógico en la función de incrustación de video en línea de Microsoft Office, la cual permite a los usuarios incrustar un video en línea de fuentes externas como YouTube y otras plataformas de medios similares.

El PoC se realizó incorporando videos en línea en el documento y luego modificando los archivos XML dentro del paquete del documento. Como lo demuestra Cymulate, involucra:

  • Modificar la extensión de archivo del documento (DOCX a ZIP).
  • Extraer los archivos que están dentro del documento.
  • Ubicar la etiqueta (embeddedHtml) dentro del archivo XML donde se pueden adjuntar scripts maliciosos o URL. Tenga en cuenta que una vez que se modifica la URL bajo el parámetro embeddedHtml, se redirige automáticamente al usuario a la URL descrita después de hacer clic en cualquier lugar del marco de video dentro del documento.
  • Inicializar y desplegar la carga útil, modificando el script dentro de embeddedHtml.

Una mirada más cercana a la muestra in-the-wild revela que simplemente modifica la URL escrita bajo el srcparameter, reemplazándola con una URL de Pastebin que contiene una secuencia de comandos que se carga y ejecuta luego de una redirección exitosa. A su vez, el script accede a otra URL maliciosa para descargar y ejecutar una versión del malware URSNIF.

[image url=”/wp-content/uploads/2019/01/Figura-2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”794″ height=”593″]

Figura 2: Fragmento de código que muestra la URL modificada en el parámetro embeddedHtml (resaltado)

¿En qué se diferencia el PoC de la muestra de malware real?

El PoC utilizó el método msSaveorOpenBlob, que inicia una aplicación para un archivo u objeto blob,  decodificando con un sistema binario en base64 incrustado dentro de la etiqueta de video. Este también se activa al hacer clic en el cuadro de vídeo. Una vez descodificado, le pedirá al usuario que utilice el Administrador de descargas de Internet Explorer (que muestra el nombre de archivo binario incorporado) con una notificación que le pregunta si debe ejecutar o guardar manualmente el archivo ejecutable (que se muestra en la Figura 3).

Sin embargo, a diferencia del PoC, la muestra de malware real es más simple y podría ser más efectiva. Accederá directamente a la URL maliciosa al hacer clic en el cuadro de video. Luego cargaría un script malicioso que descarga automáticamente la carga útil final. Como se muestra en la Figura 4, luego solicita al usuario el administrador de descargas que guarde o ejecute la carga útil, que se presenta como una actualización de Flash Player.

[image url=”/wp-content/uploads/2019/01/Figura-3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”553″ height=”394″]

Figura 3: Instantánea de IE Download Manager pidiendo al usuario que ejecute o guarde el archivo ejecutable

Figura 4: Como funciona la muestra in-the-wild

¿Cómo pueden los usuarios defenderse contra esta amenaza?

Microsoft informó que no asignó un identificador de CVE para esto, ya que la función de inserción de video en línea funciona como estaba previsto y diseñado. Los usuarios pueden defenderse contra amenazas que abusan de esto al bloquear documentos de Word que tienen la etiqueta embeddedHtml en sus respectivos archivos XML o deshabilitar documentos con videos incrustados. Dado que esta técnica aparentemente nueva solo necesita modificar las URL, podría exponer a los usuarios y las empresas a varios programas maliciosos y otras amenazas.

Adopte las mejores prácticas: sea más cauteloso con los correos electrónicos no solicitados y actualice los sistemas, las aplicaciones y las redes para corregir vulnerabilidades. El uso de mecanismos de seguridad que pueden proporcionar capas adicionales de seguridad a los endpoints (como el filtrado / categorización de URL) también puede ayudar a bloquear las URL maliciosas y los sitios de alojamiento de malware.

Los usuarios y las empresas también pueden considerar adoptar soluciones de seguridad que puedan proteger los sistemas de varias amenazas a través de una combinación intergeneracional de técnicas de defensa contra amenazas. Las soluciones de endpoint de Trend Micro como Smart Protection Suites y Worry-Free Business Security pueden proteger a los usuarios y a las empresas de estas amenazas, detectando mensajes y archivos maliciosos, así como bloqueando todas las URL maliciosas relacionadas. Trend Micro ™ Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger mediante la detección de archivos adjuntos y URL maliciosas.

Estas soluciones se basan en la seguridad de Trend Micro ™ XGen ™, que proporciona aprendizaje automático de alta fidelidad, asegura la puerta de enlace y el endpoint, y protege las cargas de trabajo físicas, virtuales y en la nube. Con las tecnologías que emplean filtrado de URL / web, análisis de comportamiento y sandboxing personalizado, la seguridad de XGen ofrece protección contra amenazas en constante cambio que evitan los controles tradicionales y explotan vulnerabilidades conocidas y desconocidas.

La regla YARA para detectar TROJ_EXPLOIT.AOOCAI se encuentra en este apéndice.

Indicadores de Compromiso (IoC):

Hashes relacionados (SHA-256):

  • 03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 — TROJ_EXPLOIT.AOOCAI
  • d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b — TSPY_URSNIF.OIBEAO

URL maliciosa relacionada:

  • hxxp://wetnosesandwhiskers[.]com/driverfix30e45vers[.]exe

 


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.