Publicado originalmente el 5 de junio de 2020.

El malware está en constante evolución, al igual que las técnicas de evasión que emplea. En un estudio realizado por la Universidad de Génova, en el que se analizan 180 000 muestras de malware para Windows, se ha constatado que hasta un 40 % de ellas utilizan al menos una técnica de evasión. En esta entrada del blog, analizamos dos métodos que utilizan los autores de amenazas para eludir el software antivirus (AV).
Analizaremos una muestra de malware para comprender cómo los atacantes utilizan archivos de Excel aparentemente inofensivos para infectar organizaciones. El archivo contiene una macro que descarga un archivo cifrado y lo descifra para extraer una carga maliciosa.
Contraseña de VelvetSweatshop
La contraseña predeterminada «VelvetSweatshop» es una antigua vulnerabilidad que apareció por primera vez en 2012. Recientemente se ha utilizado para propagar el malware LimeRAT. Los ciberdelincuentes optaron por esta táctica porque Microsoft Excel permite utilizar la contraseña predeterminada integrada «VelvetSweatshop» para descifrar un archivo, abrirlo en modo de solo lectura sin necesidad de introducir una contraseña y, al mismo tiempo, ejecutar las macros incorporadas.
Al cifrar el archivo de prueba con la contraseña «VelvetSweatshop», se impidió que algunos motores de análisis antivirus detectaran el código malicioso. En nuestras pruebas, solo 15 de los 40 antivirus detectaron la amenaza.
Macro protegida con contraseña
Al igual que ocurre con la protección con contraseña de una hoja de cálculo, Microsoft Excel permite a los usuarios bloquear una macro para que no se pueda ver. Sin embargo, esta función no cifra las macros.
Cuando utilizamos esta función para ocultar la macro de malware de muestra, la detección de algunos antivirus también resultó menos eficaz. Tres motores antivirus, que habían detectado correctamente la muestra de malware, no pudieron detectar la amenaza cuando la macro estaba protegida con contraseña.
¿Qué pasaría si combináramos ambas tácticas?
Al aplicar tanto la función «VelvetSweatshop Password» como la función «Macro protegida con contraseña» para ayudar a la muestra maliciosa a eludir la detección, observamos una disminución significativa en los resultados del análisis. Solo 13 de los 40 motores antivirus fueron capaces de detectar la amenaza.
¿Cuál es la solución para evitar las técnicas de evasión del malware?
Los autores de amenazas siempre buscan nuevas técnicas para ocultar sus archivos maliciosos a los sistemas antivirus. Una de las mejores prácticas para hacer frente al malware evasivo es desactivar todos los objetos potencialmente maliciosos en los archivos que se transfieren al sistema. Incluso una macro inofensiva puede convertirse más adelante en una vulnerabilidad.
La tecnología Deep CDR™Deep Content Disarm and Reconstruction ) OPSWAT elimina todo el contenido activo incrustado en los archivos (incluidas macros, objetos OLE, hipervínculos, etc.) y reconstruye los archivos utilizando únicamente componentes legítimos. Además, la tecnología Deep CDR™ le permite investigar macros protegidas con contraseña sin necesidad de conocerla. Esta tecnología líder del sector de OPSWAT muy eficaz para prevenir amenazas tanto conocidas como desconocidas, incluidos los ataques dirigidos de día cero y el malware evasivo avanzado.

Una vez que la muestra ha sido desinfectada mediante la tecnología Deep CDR™, disponemos ahora de un archivo libre de amenazas y con todas sus funciones intactas.
Si las macros son necesarias para las operaciones de su empresa, es importante analizar simultáneamente todos los archivos con varios antivirus para aumentar las posibilidades de detectar amenazas. OPSWAT el concepto de Multiscanning, que analiza los archivos con más de 30 motores antimalware comerciales. Al combinar diversos mecanismos y técnicas de análisis, como firmas, heurística, IA/ML y emulación, Multiscanning OPSWAT le ayuda a maximizar las tasas de detección con un bajo coste total de propiedad (TCO).
Obtenga más información sobre la tecnología Deep CDR™ y Multiscanning hable con un experto OPSWAT para descubrir la mejor solución de seguridad para prevenir el malware de día cero y el malware evasivo avanzado.
