La decisión de Microsoft de bloquear por defecto las macros de Visual Basic para Aplicaciones (VBA) en los archivos de Office descargados de Internet ha llevado a muchos actores de amenazas a improvisar sus cadenas de ataque en los últimos meses.
Ahora, según Cisco Talos, los actores de amenazas persistentes avanzadas (APT) y las familias de malware básico utilizan cada vez más los archivos de complementos de Excel (.XLL) como vector de intrusión inicial.
Los documentos de Office distribuidos a través de correos electrónicos de spear-phishing y otros ataques de ingeniería social han seguido siendo uno de los puntos de entrada más utilizados por los grupos criminales que buscan ejecutar código malicioso.
Tradicionalmente, estos documentos piden a las víctimas que habiliten macros para ver contenidos aparentemente inocuos, sólo para activar la ejecución de malware sigilosamente en segundo plano.
Para contrarrestar este uso indebido, el fabricante de Windows promulgó un cambio crucial a partir de julio de 2022 que bloquea las macros en los archivos de Office adjuntos a mensajes de correo electrónico, cortando efectivamente un vector de ataque crucial.
Aunque este bloqueo sólo se aplica a las nuevas versiones de Access, Excel, PowerPoint, Visio y Word, los delincuentes han estado experimentando con rutas de infección alternativas para desplegar el malware.
Uno de esos métodos resulta ser los archivos XLL, que Microsoft describe como un “tipo de archivo de biblioteca de vínculos dinámicos (DLL) que sólo puede abrir Excel”.
“Los archivos XLL pueden enviarse por correo electrónico, e incluso con las medidas habituales de análisis antimalware, los usuarios pueden abrirlos sin saber que pueden contener código malicioso”, afirma Vanja Svajcer, investigadora de Cisco Talos, en un análisis publicado la semana pasada.
Según la empresa de ciberseguridad, las amenazas emplean una mezcla de complementos nativos escritos en C++ y otros desarrollados con una herramienta gratuita llamada Excel-DNA, un fenómeno que ha experimentado un repunte significativo desde mediados de 2021 y ha continuado este año.
Dicho esto, se dice que el primer uso malicioso públicamente documentado de XLL se produjo en 2017, cuando el actor APT10 (alias Stone Panda), vinculado a China, utilizó la técnica para inyectar su carga útil de puerta trasera en la memoria a través del vaciado de procesos.
Otros colectivos adversarios conocidos son TA410 (un actor vinculado a APT10), DoNot Team, FIN7, así como familias de malware de productos básicos como Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RAT, FormBook, IcedID, Vidar Stealer y Warzone RAT.
El abuso del formato de archivo XLL para distribuir Agent Tesla y Dridex fue destacado anteriormente por la Unidad 42 de Palo Alto Networks, señalando que “puede indicar una nueva tendencia en el panorama de las amenazas.”
“A medida que más y más usuarios adoptan las nuevas versiones de Microsoft Office, es probable que los actores de amenazas se alejen de los documentos maliciosos basados en VBA y se dirijan a otros formatos como XLL o se basen en la explotación de vulnerabilidades recién descubiertas para lanzar código malicioso en el espacio de procesos de las aplicaciones de Office”, dijo Svajcer.
Las macros maliciosas de Microsoft Publisher impulsan a Ekipa RAT#.
Ekipa RAT, además de incorporar complementos XLL de Excel, también recibió una actualización en noviembre de 2022 que le permite aprovechar las macros de Microsoft Publisher para lanzar el troyano de acceso remoto y robar información confidencial.
“Al igual que con otros productos de oficina de Microsoft, como Excel o Word, los archivos de Publisher pueden contener macros que se ejecutarán al abrir o cerrar [el] archivo, lo que los convierte en vectores de ataque iniciales interesantes desde el punto de vista del actor de la amenaza”, señaló Trustwave.
Cabe señalar que las restricciones de Microsoft para impedir la ejecución de macros en archivos descargados de Internet no se extienden a los archivos de Publisher, lo que los convierte en una posible vía de ataque.
“El RAT Ekipa es un gran ejemplo de cómo los actores de amenazas cambian continuamente sus técnicas para adelantarse a los defensores”, dijo Wojciech Cieslak, investigador de Trustwave. “Los creadores de este malware están siguiendo los cambios en la industria de la seguridad, como el bloqueo de macros de Internet por parte de Microsoft, y cambiando sus tácticas en consecuencia.”
Fuente: thehackernews.com
