Las macros siguen siendo el vector más popular para la distribución de malware y cargas maliciosas. De hecho, los autores de malware están adoptando metodologías de ataque que aprovechan MS Office y las amenazas basadas en scripts. Se produjo un aumento significativo en las detecciones basadas en scripts (73,55 %) y en las detecciones de macros de Office (30,43 %), según el Informe sobre amenazas de malware: Estadísticas y tendencias del segundo trimestre de 2020, elaborado por Avira Protection Labs.(1) Los actores maliciosos utilizan diversas técnicas para ocultar macros maliciosas, como VBA evasivo y proyectos VBA bloqueados, lo que hace que el código de la macro sea «invisible». Estas amenazas pueden neutralizarse mediante la tecnología OPSWAT Deep Content Disarm and Reconstruction tecnología Deep CDR™). La eficacia de la tecnología Deep CDR™ se describe en nuestra entrada de blog anterior. En este blog, mostraremos cómo la tecnología Deep CDR™ previene otra técnica avanzada de evasión de malware denominada «VBA Stomping».
El Dr. Vesselin Bontchev ilustró el «VBA stomping» en su introducción al desensamblador de código p de VBA. El problema es que el «stomping» de VBA destruye el código fuente original de VBA incrustado en un archivo de Office y lo compila en un código p (un pseudocódigo para una máquina de pila), que puede ejecutarse para distribuir malware. En este caso, se elude la detección de documentos maliciosos (maldoc) basada en el código fuente de VBA y la carga útil maliciosa se distribuye con éxito. A continuación se muestra un ejemplo detallado de «stomping» de VBA.
Mediante la técnica de «stomping» de VBA, se modifica el script de macro original para que muestre un mensaje sencillo. Esto impide que los programas antimalware detecten el contenido activo sospechoso del archivo. Sin embargo, la macro sigue siendo ejecutable (a través del código p) y solicita la ejecución de la línea de comandos.
La tecnología Deep CDR™ te protege de todo contenido malicioso oculto en los archivos. Elimina tanto el código fuente de las macros como el código p de los documentos. Nuestra tecnología avanzada de prevención de amenazas no se basa en la detección. Parte de la base de que todos los archivos que entran en tu red son sospechosos y, por ello, depura y reconstruye cada archivo utilizando únicamente sus componentes legítimos. Independientemente de cómo se oculte el contenido activo (macros, campos de formulario, hipervínculos, etc.) en un documento, este se elimina antes de que el archivo se envíe a los usuarios. Vea el vídeo de demostración a continuación para comprender cómo la tecnología Deep CDR™ resulta eficaz en el escenario de VBA Stomping.
La tecnología Deep CDR™ garantiza que todos los archivos que entran en su organización queden neutralizados. Esto ayuda a prevenir los ataques de día cero y evita que el malware evasivo penetre en su organización. Nuestra solución permite la desinfección de más de 100 tipos de archivos habituales, entre los que se incluyen PDF, archivos de Microsoft Office, HTML, archivos de imagen y muchos formatos específicos de cada región, como JTD y HWP.
Póngase en contacto con nosotros para obtener más información sobre las tecnologías avanzadas OPSWATy proteger a su organización frente a ataques cada vez más sofisticados.
Referencia:
(1) «Informe sobre amenazas de malware: estadísticas y tendencias del segundo trimestre de 2020 | Blog de Avira». 2020. Blog de Avira. https://www.avira.com/en/blog/....
