Ten cuidado! Este Hack Microsoft de PowerPoint instala malware sin necesidad de macros

Ten cuidado! Este Hack Microsoft de PowerPoint instala malware sin necesidad de macros

Deshabilitar macros y siempre tener mucho cuidado cuando se habilita manualmente al abrir documentos de Microsoft Office Word.

Es posible que haya oído hablar varias veces en Internet de advertencias de seguridad mencionadas arriba, ya que los hackers suelen aprovechar esta pirateria de hace decadas, a base de macros, una tecnica de hackear ordenadores a través de archivos especialmente diseñados en Microsoft Office, en particular Word, adjuntos a los correos electrónicos de spam.

Pero un nuevo ataque de ingeniería social ha sido descubierto, que no requiere que los usuarios habiliten las macros, en su lugar se ejecuta el malware en un sistema objetivo utilizando comandas PowerShell incrustados dentro de un archivo de PowerPoint (PPT).

Por otra parte, el código malicioso oculto PowerShell dentro del documento se activa tan pronto como la víctima mueve / posa el mouse sobre un enlace (como se muestra en la imagen arriba), que descarga un enlace adicional en el sistema afectado – incluso sin hacer clic en él.Los investigadores de la empresa de seguridad SentinelOne han descubierto que un grupo de hackers está utilizando archivos de PowerPoint maliciosos para distribuir ‘zusy’,  un troyano bancario, también conocido como ‘Tinba’ (diminutivo de Tiny Banker).

Descubierto en 2012, zusy es un troyano bancario que se dirige a sitios web financieros y tiene la capacidad de rastrear el tráfico de red y llevar a cabo ataques usuario-usando-su-navegador con el fin de inyectar formas adicionales en websites bancarios confiables, pidiendo a las víctimas compartir datos cruciales como números de tarjetas de crédito, , y tokens de autenticación.

“Una nueva variante de un malware llamado ‘zusy’ se ha encontrado en eco sistema online, la difusión de un archivo PowerPoint adjunto a mensajes de spam con títulos como ‘la orden de compra # 130527’ y ‘confirmación’. Es interesante porque no requiere que el usuario deba habilitar las macros para ejecutar “, investigadores de los Laboratorios SentinelOne dicen en una entrada de su blog.

Los archivos de PowerPoint se han distribuido a través de mensajes de spam con temas como “orden de compra” y “confirmación”, que cuando se abre, muestra el texto “Cargando … por favor espere” como un hipervínculo.

Cuando un usuario pasa el mouse sobre el enlace que trata de forma automática activar el código de PowerShell, pero la función de vista de seguridad protegido que viene activado por defecto en versiones más compatibles de oficina, incluyendo Office 2013 y Office 2010, muestra una advertencia  y los impulsa para activar o desactivar el contenido.

Si el usuario deja de lado esta advertencia y permite el contenido sea visto, el programa malicioso se conectará con el nombre de dominio “cccn.nl”, desde donde se descarga y ejecuta un archivo, que es finalmente responsable de la entrega de una nueva variante de el troyano bancario llama zusy.

“Los usuarios permiten de alguna manera los programas externos porque son perezosos, andan de prisa, o sólo están utilizado el bloqueo de las macros,” dice SentinelOne Labs. “Además, algunas configuraciones pueden posiblemente ser más permisiva en la ejecución de programas externos de lo que son con macros.”

Otro investigador de seguridad, Ruben Daniel Dodge, también analizo esto y confirmó que este ataque recién descubierto no se basa en macros, Javascript o VBA para el método de ejecución.

“Esto se logra mediante la accion de posar el mousesobre el elemento. Esta acción está configurada para ejecutar un programa en PowerPoint una vez que los usuario se desplaza sobre el texto. En la definición de los recursos de slide1 ‘rio2’ se define como un hipervínculo en el que el objetivo es un sistema de PowerShell “, dijo Dodge.

La firma de seguridad también dijo que el ataque no funciona si el archivo malicioso se abre en PowerPoint Viewer, que se niega a ejecutar el programa. Sin embargo, la técnica aún podría ser eficaz en algunos casos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

by MobilMedia® Events
REGISTROS

Notice: Undefined index: fpw_cover in /home/centin6/public_html/cibersecuresummit.com/cm/wp-content/plugins/fb-page-widget/fb-page-widget.php on line 315

Notice: Undefined index: fpw_posts in /home/centin6/public_html/cibersecuresummit.com/cm/wp-content/plugins/fb-page-widget/fb-page-widget.php on line 322

Notice: Undefined index: fpw_messages in /home/centin6/public_html/cibersecuresummit.com/cm/wp-content/plugins/fb-page-widget/fb-page-widget.php on line 342