La decisi\u00f3n de Microsoft de bloquear las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada para los archivos de Office descargados de Internet ha llevado a muchos actores de amenazas a improvisar sus cadenas de ataque en los \u00faltimos meses.<\/p>\n
Ahora seg\u00fan cisco talos<\/a>los actores de amenazas persistentes avanzadas (APT) y las familias de malware de productos b\u00e1sicos utilizan cada vez m\u00e1s archivos de complemento de Excel (.XLL) como vector de intrusi\u00f3n inicial.<\/p>\n Los documentos de Office armados entregados a trav\u00e9s de correos electr\u00f3nicos de phishing y otros ataques de ingenier\u00eda social se han mantenido como uno de los puntos de entrada m\u00e1s utilizados por los grupos criminales que buscan ejecutar c\u00f3digo malicioso.<\/p>\n Estos documentos tradicionalmente solicitan a las v\u00edctimas que habiliten macros para ver contenido aparentemente inocuo, solo para activar la ejecuci\u00f3n de malware de forma sigilosa en segundo plano.<\/p>\n Para contrarrestar este mal uso, el fabricante de Windows promulg\u00f3 un cambio crucial a partir de julio de 2022 que macros de bloques<\/a> en archivos de Office adjuntos a mensajes de correo electr\u00f3nico, cortando efectivamente un vector de ataque crucial.<\/p>\n Si bien este bloqueo solo se aplica a las nuevas versiones de Access, Excel, PowerPoint, Visio y Word, los malos actores han estado experimentando con rutas de infecci\u00f3n alternativas para implementar malware.<\/p>\n Uno de esos m\u00e9todos resulta ser Archivos XLL<\/a>que Microsoft describe como un “tipo de archivo de biblioteca de v\u00ednculos din\u00e1micos (DLL) que solo Excel puede abrir”.<\/p>\n “Los archivos XLL se pueden enviar por correo electr\u00f3nico, e incluso con las medidas habituales de escaneo antimalware, los usuarios pueden abrirlos sin saber que pueden contener c\u00f3digo malicioso”, dijo el investigador de Cisco Talos, Vanja Svajcer, en un an\u00e1lisis publicado la semana pasada.<\/p>\n La firma de ciberseguridad dijo que los actores de amenazas est\u00e1n empleando una combinaci\u00f3n de complementos nativos escritos en C ++, as\u00ed como aquellos desarrollados con una herramienta gratuita llamada Excel-DNA, un fen\u00f3meno que ha experimentado un aumento significativo desde mediados de 2021 y continu\u00f3 hasta este a\u00f1o.<\/p>\n Dicho esto, se dice que el primer uso malicioso documentado p\u00fablicamente de XLL ocurri\u00f3 en 2017 cuando el actor APT10 (tambi\u00e9n conocido como Stone Panda) vinculado a China utiliz\u00f3 la t\u00e9cnica para inyectar su carga \u00fatil de puerta trasera en la memoria a trav\u00e9s de proceso de vaciado<\/a>.<\/p>\n Otros colectivos adversarios conocidos incluyen TA410 (un actor con enlaces a APT10), DoNot Team, FIN7, as\u00ed como familias de malware de productos b\u00e1sicos como Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RATA<\/a>FormBook, IcedID, Vidar Stealer y Warzone RAT.<\/p>\n El abuso del formato de archivo XLL para distribuir agente tesla<\/a> y Dridex<\/a> fue destacado previamente por la Unidad 42 de Palo Alto Networks, se\u00f1alando que “puede indicar una nueva tendencia en el panorama de amenazas”.<\/p>\n “A medida que m\u00e1s y m\u00e1s usuarios adopten nuevas versiones de Microsoft Office, es probable que los actores de amenazas se alejen de los documentos maliciosos basados \u200b\u200ben VBA a otros formatos como XLL o conf\u00eden en la explotaci\u00f3n de vulnerabilidades reci\u00e9n descubiertas para lanzar c\u00f3digo malicioso en el espacio de proceso de aplicaciones de oficina”, dijo Svajcer.<\/p>\n Ekipa RATA<\/a>adem\u00e1s de incorporar complementos XLL Excel, tambi\u00e9n recibi\u00f3 una actualizaci\u00f3n en noviembre de 2022 que le permite aprovechar las macros de Microsoft Publisher para eliminar el troyano de acceso remoto y robar informaci\u00f3n confidencial.<\/p>\n “Al igual que con otros productos de oficina de Microsoft, como Excel o Word, los archivos de Publisher pueden contener macros que se ejecutar\u00e1n al abrir o cerrar [of] el archivo, lo que los convierte en vectores de ataque iniciales interesantes desde el punto de vista del actor de amenazas”, dijo Trustwave anotado<\/a>.<\/p>\n Vale la pena se\u00f1alar que las restricciones de Microsoft para impedir que las macros se ejecuten en archivos descargados de Internet no se extienden a los archivos de Publisher, lo que los convierte en una v\u00eda potencial para los ataques.<\/p>\n “El Ekipa RAT es un gran ejemplo de c\u00f3mo los actores de amenazas cambian continuamente sus t\u00e9cnicas para adelantarse a los defensores”, dijo el investigador de Trustwave Wojciech Cieslak. “Los creadores de este malware est\u00e1n rastreando los cambios en la industria de la seguridad, como el bloqueo de macros de Internet por parte de Microsoft, y cambiando sus t\u00e1cticas en consecuencia”.<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\")
<\/a><\/center><\/div>\n![\"Vector](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1672216106_294_Los-piratas-informaticos-de-APT-recurren-a-los-complementos-maliciosos.png\" "\\"Vector")
<\/div>\nLas macros maliciosas de Microsoft Publisher empujan a Ekipa RAT<\/h2>\n