La Oficina Federal de Investigación de Estados Unidos (FBI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) han publicado el Informe de Análisis de Malware (AR20-232A) en el que se advierte de una nueva variante de malware denominada «BLINDINGCAN». Se trata de un troyano de acceso remoto (RAT) creado por hackers patrocinados por el Estado norcoreano para llevar a cabo una serie de ataques contra empresas estadounidenses y extranjeras que operan en los sectores de la defensa militar y aeroespacial con el fin de obtener inteligencia confidencial e información secreta.
En este blog, analizamos las tácticas encubiertas del autor de la amenaza, describimos el vector de infección del malware y su ejecución, y ofrecemos la solución para prevenir este tipo de ataques.
Vector de infección
El malware se introdujo en los sistemas de las víctimas a través de una campaña de phishing que imitaba ofertas de empleo de importantes empresas del sector de la defensa y aeroespacial. Se pedía a las víctimas que abrieran un documento adjunto de MS Word, lo que acababa infectando sus sistemas. Los escenarios de ataque parecen familiares y fáciles de detectar. Sin embargo, en esta campaña, los hackers norcoreanos no utilizaron malware incrustado ni macros VBA dentro del documento adjunto, sino que emplearon el método AttachedTemplate para descargar un archivo infectado de una fuente externa al abrirlo y ejecutarlo. Es posible que el objeto externo se utilizara para crear un ataque en varias fases con el fin de eludir los antivirus. Esta técnica de ataque evasiva no es nueva, pero sigue siendo muy eficaz para eludir y mitigar la detección.
Aquí puedes consultar el resultado detallado del análisis realizado por nuestro MetaDefender Cloud . Solo 14 de los 38 motores antivirus detectaron la amenaza.
A continuación, analizaremos tres ejemplos de ataques que utilizan objetos OLE para comprender por qué este truco de evasión es peligroso y cómo prevenirlo.
¿En qué se diferencian los objetos incrustados, las macros y las plantillas adjuntas? ¿Cómo funcionan?
En la primera demostración, insertamos malware en un documento de MS Word como objeto OLE.
Al analizar el documento con MetaDefender Cloud, aunque MetaDefender Cloud noCloud configurado para extraer archivos de Microsoft Office, nueve antivirus detectaron correctamente el malware incrustado. Habría más motores que detectarían el malware si el documento se analizara con MetaDefender Core la versión local con todas las capacidades de configuración), donde la extracción está habilitada.
En la segunda demostración, utilizamos una macro integrada para descargar el malware. Hubo cuatro motores que detectaron la amenaza.
Por último, sustituimos el malware mencionado anteriormente por un archivo EICAR externo utilizando el método AttachedTemplate. Como resultado, solo un antivirus fue capaz de detectar la amenaza.
En general, en las primeras versiones de prueba, el malware, al tratarse de un objeto incrustado, se encuentra en la carpeta «embeddings», lo que permite a los antivirus detectarlo fácilmente.
Sin embargo, si se trata de un objeto vinculado, como se muestra en la segunda y tercera demostración, a los antivirus les resultará mucho más difícil detectar la amenaza. Este tipo de ataques son eficaces contra las defensas basadas en firmas, ya que el malware no se descarga hasta que las víctimas abren el archivo.
En el caso de los ataques que utilizan una macro incrustada, algunos sistemas de protección basados en la detección pueden identificar el malware gracias al código malicioso presente en el archivo. Sin embargo, cuando el malware se descarga de una fuente externa mediante la plantilla de documento adjunto, el único elemento sospechoso es la URL que figura en el archivo XML. Lamentablemente, la mayoría de los antivirus existentes en el mercado no tienen la capacidad de analizar las URL. Además, la URL maliciosa puede modificarse en cualquier momento.
Solución: OPSWAT Deep Content Disarm and Reconstruction tecnología Deep CDR™)
La tecnología Deep CDR™ es una tecnología avanzada de prevención de amenazas que no se basa en la detección. En su lugar, parte de la base de que todos los archivos son maliciosos y los depura y reconstruye, garantizando su plena funcionalidad con un contenido seguro. Independientemente del tipo de objetos OLE de que se trate, la tecnología Deep CDR™ los identifica como objetos potencialmente peligrosos y los elimina por completo del archivo. En consecuencia, los tres vectores de infección mencionados anteriormente dejan de ser utilizables. Los usuarios recibirán un archivo seguro con todas sus funciones.
Tras ser procesadas con la tecnología Deep CDR™, las tres muestras están libres de amenazas. Incluso los archivos incrustados, como las imágenes, se limpian de forma recursiva para garantizar una prevención de amenazas al 100 %.
La tecnología Deep CDR™ garantiza que ningún archivo que entre en su organización resulte dañino, lo que le ayuda a prevenir ataques de día cero y malware evasivo. Nuestra solución permite la desinfección de más de 100 tipos de archivos habituales, entre los que se incluyen PDF, archivos de Microsoft Office, HTML, archivos de imagen y muchos formatos específicos de cada región, como JTD y HWP.
Póngase en contacto con nosotros para obtener más información sobre las tecnologías OPSWAT y proteger a su organización frente a ataques cada vez más sofisticados.
Referencia:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
