Se ha descubierto en campos vacíos, fórmulas incrustadas que utilizan la terminal cmd.exe, con el objetivo de descargar un archivo llamado now.exe, el cual se almacena en una carpeta temporal del sistema. El malware pertenece a la familia NanoCore RAT.
El atacante se encarga de forzar el protocolo DDE (Dynamic Data Exchange) que permite la comunicación entre aplicaciones, soportada por Microsoft Office, LibreOffice y Apache OpenOffice permitiendo ejecutar programas a través de funciones.
OpenOffice y LibreOffice, ha lanzado un parche para corregir esta vulnerabilidad, en cambio el software de Microsoft solo muestra unas pantallas para advertir de las consecuencias. Es por ello, que este malware puede propagarse a través de Google Sheets, en 2019 se ha comprobado la habilidad de omitir los filtros de Google por medio de la implementación de un dropper (archivo que contienen otros binarios dentro de su cuerpo que actúan como un archivo ZIP autoextraíble: toman los archivos almacenados dentro y luego los instalan en la máquina afectada.) con extensión CSV.
A pesar de que Google realiza un análisis de los archivos (.exe ,. dll, .zip, etc) que se adjuntan en plataformas como drive o gmail, las hojas de cálculo quedan fuera del análisis, lo que permite al atacante enviar el archivo CSV y solicitar que se abra de forma local por problemas de compatibilidad y así infectar el equipo de la víctima.
Indicadores de Compromiso
Hashes:
- 5e561bf9e088f8f2b9c0610fb6f61f6d7655f6a0988a0d304452d8fa73a6a628 (.CSV)
- cd3d1b4d147a198e1a2b7e3f4370998142bf20cbdfdd3d30cf86d65b5bd40f50 (dropped)
- http://7bwh.com/wp-content
- http://7bwh.com/wp-content/plugins/Ultimate_VC_Addons/admin/ifeany/now.exe
- 99grams.ddns.net (c2)
REFERENCIA
COMENTARIOS