En la conferencia de Virus Bulletin que se llevó a cabo el mes pasado en Seattle, hablamos sobre cómo evolucionó el troyano BlackEnergy para convertirse en una herramienta maliciosa utilizada por el espionaje en Ucrania y Polonia.
En la última publicación sobre este tema, mencionamos los siguientes vectores de propagación del malware utilizados en las campañas de BlackEnergy de este año:
- Documentos de Microsoft Word que contienen exploits, por ejemplo, la vulnerabilidad CVE-2014-1761
- Archivos ejecutables con un icono de Microsoft Word, para convencer a la víctima para que abra los archivos
- Aprovechamiento de vulnerabilidades de Java
- Instalación mediante el software de control remoto Team Viewer
- Documentos de Microsoft PowerPoint que contienen la vulnerabilidad CVE-2014-4114
En esta publicación, damos información adicional sobre el último caso: cómo un archivo creado especialmente para mostrar una presentación de diapositivas en PowerPoint (.PPSX) llevó a la ejecución del dropper BlackEnergy.
En las campañas de agosto de 2014, varias víctimas potenciales recibieron correos electrónicos dirigidos como el que se muestra a continuación.
En esencia, el texto del correo electrónico en ucraniano dice que el Primer Ministro ucraniano, Arseniy Yatsenyuk, está ordenando a la Fiscalía General, al Servicio Secreto Ucraniano, al Ministerio del Interior y al Ministerio de Justicia que investiguen a los miembros del parlamento, a los partidos políticos y a las ONG en Ucrania para detectar si estuvieron involucrados en el apoyo a los rebeldes de Ucrania Oriental y además se adjunta una lista de supuestos partidarios del terrorismo.
Si el destinatario muerde el anzuelo y abre el archivo adjunto PPSX, encontrará lo que esperaba por la descripción del correo electrónico: una lista de nombres.
Sin embargo, lo más importante es lo que ocurre en segundo plano. El paquete de PowerPoint contiene dos objetos OLE integrados, cada uno con una ruta remota donde se ubica el recurso. Los dos archivos se llaman slide1.gif y slides.inf.
Una de las funciones de Microsoft PowerPoint es cargar estos archivos, pero en este caso se trata de archivos peligrosos, porque los objetos pueden descargarse desde una ubicación de red arbitraria que no es de confianza y ejecutarse sin ninguno de los mensajes de advertencia emergentes, algo que se soluciona en el parche MS12-005.
Entonces, ¿qué son los dos archivos descargados? El archivo .gif no es una imagen, sino que en realidad se trata de un dropper BlackEnergy Lite camuflado. Los archivos .INF son también ejecutables y se usan típicamente para instalar controladores de dispositivos.
En este caso en particular, la tarea del archivo .INF es cambiar el nombre del dropper BlackEnergy de slide1.gif a slide1.gif.exe y ejecutarlo mediante una simple entrada del Registro de Windows:
A pesar de que esta vulnerabilidad se conoce al menos desde 2012, no había sido demasiado aprovechada por atacantes hasta el momento. Cuando ESET notó que el malware in-the-wild la empezó a usar de forma activa informó a Microsoft el pasado 2 de septiembre de 2014.
Ahora que la vulnerabilidad se reconoce como CVE-2014-4114 y que Microsoft publicó un parche de seguridad para ella, se recomienda encarecidamente actualizar los sistemas Windows afectados lo antes posible para bloquear este vector de infección.
Traducción del post de Robert Lipovsky en We Live Security realizada por ESET Latinoamérica.