La decisión de Microsoft de bloquear las macros de Visual Basic para Aplicaciones (VBA) de forma predeterminada para los archivos de Office descargados de Internet ha llevado a muchos actores de amenazas a improvisar sus cadenas de ataque en los últimos meses.
Ahora, según Cisco Talos, los actores de amenazas persistentes avanzadas (APT) y las familias de malware de productos básicos utilizan cada vez más el complemento de Excel (. XLL) como vector de intrusión inicial.
Los documentos de Office armados entregados a través de correos electrónicos de spear-phishing y otros ataques de ingeniería social han seguido siendo uno de los puntos de entrada ampliamente utilizados por los grupos criminales que buscan ejecutar código malicioso.
Estos documentos tradicionalmente solicitan a las víctimas que habiliten macros para ver contenido aparentemente inocuo, solo para activar la ejecución de malware sigilosamente en segundo plano.
Para contrarrestar este mal uso, el fabricante de Windows promulgó un cambio crucial a partir de julio de 2022 que bloquea las macros en los archivos de Office adjuntos a los mensajes de correo electrónico, cortando efectivamente un vector de ataque crucial.
Si bien este bloqueo solo se aplica a las nuevas versiones de Access, Excel, PowerPoint, Visio y Word, los malos actores han estado experimentando con rutas de infección alternativas para implementar malware.
Uno de esos métodos resulta ser archivos XLL, que Microsoft describe como un “tipo de archivo de biblioteca de vínculos dinámicos (DLL) que solo Excel puede abrir”.
“Los archivos XLL se pueden enviar por correo electrónico, e incluso con las medidas habituales de escaneo antimalware, los usuarios pueden abrirlos sin saber que pueden contener código malicioso”, dijo la investigadora de Cisco Talos Vanja Svajcer en un análisis publicado la semana pasada.
La firma de ciberseguridad dijo que los actores de amenazas están empleando una mezcla de complementos nativos escritos en C ++, así como los desarrollados utilizando una herramienta gratuita llamada Excel-DNA, un fenómeno que ha sido testigo de un aumento significativo desde mediados de 2021 y continuó hasta este año.
Dicho esto, se dice que el primer uso malicioso documentado públicamente de XLL ocurrió en 2017 cuando el actor APT10 (también conocido como Stone Panda) vinculado a China utilizó la técnica para inyectar su carga útil de puerta trasera en la memoria a través del vaciado del proceso.
Desde entonces, varios otros colectivos adversarios han seguido sus pasos, incluidos TA410 (un actor con vínculos con APT10), DoNot Team, FIN7, así como familias de malware de productos básicos como Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RAT, FormBook, IcedID, Vidar Stealer y Warzone RAT.
El abuso del formato de archivo XLL para distribuir el Agente Tesla y Dridex fue destacado previamente por la Unidad 42 de Palo Alto Networks, señalando que “puede indicar una nueva tendencia en el panorama de amenazas”.
“A medida que más y más usuarios adoptan nuevas versiones de Microsoft Office, es probable que los actores de amenazas se alejen de los documentos maliciosos basados en VBA a otros formatos como XLLs o confíen en la explotación de vulnerabilidades recién descubiertas para lanzar código malicioso en el espacio de proceso de las aplicaciones de Office”, dijo Svajcer.
Ekipa RAT, además de incorporar complementos XLL Excel, también ha recibido una actualización en noviembre de 2022 que le permite aprovechar las macros de Microsoft Publisher para soltar el troyano de acceso remoto y robar información confidencial.
“Al igual que con otros productos de Microsoft Office, como Excel o Word, los archivos de Publisher pueden contener macros que se ejecutarán al abrir o cerrar el archivo, lo que los convierte en vectores de ataque iniciales interesantes desde el punto de vista del actor de amenazas”, señaló Trustwave.
Vale la pena señalar que las restricciones de Microsoft para impedir que las macros se ejecuten en archivos descargados de Internet no se extienden a los archivos de Publisher, lo que permite a los adversarios explotar esta vía para campañas de phishing.
“El Ekipa RAT es un gran ejemplo de cómo los actores de amenazas están cambiando continuamente sus técnicas para mantenerse por delante de los defensores”, dijo el investigador de Trustwave Wojciech Cieslak. “Los creadores de este malware están rastreando los cambios en la industria de la seguridad, como el bloqueo de macros de Internet por parte de Microsoft, y cambiando sus tácticas en consecuencia”.
