Clicky

Piratas informáticos rusos de 'Fancy Bear' utilizan exploit (sin reparar) DDE de Microsoft Office

Fancy Bear

El protocolo DDE está siendo utilizado por miles de aplicaciones

Ciberdelincuentes, incluidos hackers patrocinados por el estado, han comenzado a explotar activamente una vulnerabilidad de Microsoft Office recientemente descubierta que Microsoft no considera un problema de seguridad y que ya ha denegado parchearla.

El mes pasado se informó cómo podrían aprovechar los piratas informáticos una función incorporada a las características de Microsoft Office, llamada Dynamic Data Exchange (DDE), para realizar la ejecución del código en el dispositivo de destino sin requerir Macros habilitados o daños en la memoria.

El protocolo DDE es uno de los varios métodos que Microsoft usa para permitir que dos aplicaciones en ejecución compartan los mismos datos.

El protocolo está siendo utilizado por miles de aplicaciones, incluidas MS Excel, MS Word, Quattro Pro y Visual Basic para transferencias de datos únicas y para intercambios continuos para enviar actualizaciones entre sí.

Poco después de que se hicieran públicos los detalles del ataque DDE, surgieron varios informes sobre varias campañas de ataques generalizadas que abusan de esta técnica para atacar con malware a varias organizaciones.

Ahora, por primera vez, esta técnica de ataque DDE ha sido aprovechada por un grupo de piratería de Amenaza Persistente Avanzada (APT), APT28, que es bien conocido como Fancy Bear y se cree que está respaldado por el gobierno ruso.

Al analizar una nueva campaña de spear phishing, los investigadores de seguridad descubrieron que los hackers de Fancy Bear aprovecharon la vulnerabilidad DDE desde finales de octubre, según un reciente informe publicado el martes por investigadores de McAfee.

La campaña incluyó documentos que hacen referencia al reciente ataque terrorista en la ciudad de Nueva York en un intento de engañar a las víctimas para que hagan clic en los documentos maliciosos, lo que finalmente infecta sus sistemas con malware.

Como DDE es una característica legítima de Microsoft, la mayoría de las soluciones antivirus no marcan ninguna advertencia ni bloquean los documentos con campos DDE.

Por lo tanto, cualquiera que haga clic en el archivo adjunto malicioso (con nombres como SabreGuard2017.docx o IsisAttackInNewYork.docx) ejecutará inadvertidamente código malicioso en su computadora sin ninguna restricción o detección.

Una vez abierto, el documento ejecuta contactos con un servidor de comando y control para instalar la primera etapa del malware llamada Seduploader en las máquinas de las víctimas mediante comandos de PowerShell.

Luego, Seduploader realiza un seguimiento de las posibles víctimas al extraer la información básica del host del sistema infectado a los piratas informáticos. Si el sistema es de interés, los atacantes instalarán luego una pieza más completa de spyware-X-Agent y Sedreco.

"APT28 es un ingenioso actor de amenazas que no solo aprovecha los eventos recientes para engañar a las posibles víctimas de las infecciones, sino que también puede incorporar rápidamente nuevas técnicas de explotación para aumentar su éxito", concluyeron los investigadores de Mcafee.

"Dada la publicidad que recibió en la prensa la campaña Cy Con U.S, es posible que los actores APT28 hayan dejado de utilizar el script VBA empleado en acciones anteriores y hayan elegido incorporar la técnica DDE para sortear las defensas de la red".

Esta no es la primera campaña de malware que se ha detectado abusando de la técnica de ataque DDE.

Poco después que se hicieran públicos los detalles de la técnica de ataque DDE, el grupo de investigación de amenazas Talos de Cisco descubrió una campaña de ataque que explotaba activamente esta técnica de ataque para apuntar a varias organizaciones con un troyano de acceso remoto sin archivos llamado DNSMessenger.

A fines del mes pasado, los investigadores descubrieron una campaña que difundía Locky ransomware y el troyano bancario TrickBot a través de documentos Word que aprovecharon la técnica DDE.

Otra campaña de spam independiente detectada por los investigadores de seguridad también encontró la distribución del malware Hancitor (también conocido como Chanitor y Tordal) utilizando el exploit DDE de Microsoft Office.

Protección contra ataques de malware DDE

Dado que Microsoft no proporciona ninguna protección contra dichos ataques, puedes evitar fácilmente ser víctima de cualquier documento malicioso que abuse de la función DDE de Microsoft deshabilitándola por completo.

Si usas Microsoft Word 2016 o Microsoft Excel 2016, vae a Opciones → Avanzado, y luego elimina la marca de verificación de "Actualizar enlaces automáticos al abrir" que se enumera debajo del grupo general en la página.

En MS Excel, también puedes considerar marcar "Ignorar otras aplicaciones que usan Dynamic Data Exchange (DDE)".

deshabilitar el protocolo DDE de Office

Además, Disable DDEAuto es un archivo de registro mantenido en GitHub que desactiva la funcionalidad de "enlaces de actualización" y "archivos incrustados" en los documentos de MS Office cuando se ejecutan.

Puedes detectar documentos de Office que abusan de la función DDE mediante un conjunto de reglas de YARA en archivos Office Open XML publicados por los investigadores en NVISO Labs.

Sin embargo, la mejor forma de protegerse de tales ataques de malware es siempre desconfiar de los documentos no invitados enviados por correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique adecuadamente la fuente.

Jesus_Caceres