Desde que Microsoft anunció que bloquearía las macros VBA de forma predeterminada, y luego retrocedió brevemente antes de volver a bloquearlas, los atacantes han estado ocupados experimentando con diferentes tipos de archivos para lanzar sus ataques de malware.
Según una nueva investigación, los ciberdelincuentes han vuelto a las andadas, y están abusando una vez más de los archivos de Excel (XLL) habilitados para macros.
Estos archivos ofrecen a los atacantes mayores «oportunidades» en comparación con alternativas como las macros de Visual Basic para Aplicaciones (VBA), que gracias a la intervención de Microsoft en 2022, ahora están bloqueadas de forma predeterminada.
Implementación
Los archivos XLL habilitados para macros se pueden implementar de varias maneras.
En este caso, los atacantes optan por usarlos como un dropper (troyano diseñado para instalar código malicioso) en lugar de un medio para descargar cargas útiles desde la web.
Se cree que los archivos adjuntos maliciosos en formato XLL son enviados a los usuarios, disfrazados de facturas escaneadas, provenientes de cuentas de correo electrónico comprometidas.
Cuando se abren por primera vez, una función llamada «xlAutoOpen» (que contiene el código malicioso), se ejecuta para cargar varias bibliotecas del sistema.
Luego, el malware escribe un ejecutable «lum.exe» en una nueva carpeta en C:\ProgramData.
También crea una nueva clave en el registro de Windows llamada 'ID' en HKEY_CURRENT_USER\Software\Intel con el nombre de la carpeta del ejecutable establecido como valor.
Luego se inicia Lum.exe.
El troyano utiliza múltiples técnicas para evadir la detección, como el vaciado de procesos (“process hollowing”) y una vez conseguido su objetivo, se vuelve operativo.
Según los investigadores, se puede alquilar por unos 65 dólares al mes.
Por este precio, ofrece a los perpetradores, incluso sin grandes conocimientos, acceso y control remoto a las máquinas de las víctimas, para llevar a cabo cosas como filtración de datos y robo de credenciales.
Por lo tanto, a pesar de los esfuerzos llevados a cabo por Microsoft, ni Excel ni PowerPoint están a salvo, ya que los delincuentes siguen encontrando formas de eludir las protecciones.
Y el hecho de que Microsoft Office sea posiblemente el software de oficina más utilizado por particulares y empresas significa que este tipo de cosas van a surgir una y otra vez
