Malware en PowerPoint sobre el fin del mundo Maya
Durante esta semana Peter Szabo y Richard Wang de SophosLabs descubrieron un malware oculto en una hoja de Microsoft Excel que generaba Sudokus.
Esta mañana, otro miembro de SophosLabs, Scott Sitar, alertaba de otro malware escondido en una presentación PowerPoint llamada "Will the world end in 2012?".
Como en el fichero Excel, éste contiene un macro en Visual Basic que ejecuta un fichero llamado VBA[X], donde [X] es una letra mayúscula aleatoria. De hecho, la funcionalidad de los dos macros es idéntica.
También en ambos casos, es necesario que el usuario active los macros, pero no incluye ningún consejo de cómo realizarlo.
¿Qué realizan estos macros? Están diseñados para construir un fichero Windows PE (Portable Executable) válido desde arrays de bytes.
Pese a que esta técnica no es nueva, la mayoría de los usuarios no entenderán nada relativo a los macros y ni se preocuparan en intentar abrirlos.
El fichero EXE es lo que llamamos un dropper. Extrae otro fichero Windows PE que descarga la foto de un búho, y después contacta con servidor. En teoría debería descargar otro archivo pero durante nuestros tests no realizo ninguna otra operación.
Fuente: Sophos Iberia
Esta mañana, otro miembro de SophosLabs, Scott Sitar, alertaba de otro malware escondido en una presentación PowerPoint llamada "Will the world end in 2012?".
Como en el fichero Excel, éste contiene un macro en Visual Basic que ejecuta un fichero llamado VBA[X], donde [X] es una letra mayúscula aleatoria. De hecho, la funcionalidad de los dos macros es idéntica.También en ambos casos, es necesario que el usuario active los macros, pero no incluye ningún consejo de cómo realizarlo.
¿Qué realizan estos macros? Están diseñados para construir un fichero Windows PE (Portable Executable) válido desde arrays de bytes.
Pese a que esta técnica no es nueva, la mayoría de los usuarios no entenderán nada relativo a los macros y ni se preocuparan en intentar abrirlos.
El fichero EXE es lo que llamamos un dropper. Extrae otro fichero Windows PE que descarga la foto de un búho, y después contacta con servidor. En teoría debería descargar otro archivo pero durante nuestros tests no realizo ninguna otra operación.
Fuente: Sophos Iberia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!