Malware en formato CSV vía Google Sheets


Son varios los ataques que sea han realizado mediante archivos en formato .CSV en que los hackers ocultan malware a través de técnicas sofisticadas. Un tipo de archivo tan simple de texto que no involucra macros, código de Visual Basic o exploits, en que el usuario solo debe tener instalado Microsoft Office y este se encargará de interpretar el contenido en celdas.

Se ha descubierto en campos vacíos, fórmulas incrustadas que utilizan la terminal cmd.exe, con el objetivo de descargar un archivo llamado now.exe, el cual se almacena en una carpeta temporal del sistema. El malware pertenece a la familia NanoCore RAT.

El atacante se encarga de forzar el protocolo DDE (Dynamic Data Exchange) que permite la comunicación entre aplicaciones, soportada por Microsoft Office, LibreOffice y Apache OpenOffice permitiendo ejecutar programas a través de funciones.

OpenOffice y LibreOffice, ha lanzado un parche para corregir esta vulnerabilidad, en cambio el software de Microsoft solo muestra unas pantallas para advertir de las consecuencias. Es por ello, que este malware puede propagarse a través de Google Sheets, en 2019 se ha comprobado la habilidad de omitir los filtros de Google por medio de la implementación de un dropper (archivo que contienen otros binarios dentro de su cuerpo que actúan como un archivo ZIP autoextraíble: toman los archivos almacenados dentro y luego los instalan en la máquina afectada.) con extensión CSV.

A pesar de que Google realiza un análisis de los archivos (.exe ,. dll, .zip, etc) que se adjuntan en plataformas como drive o gmail, las hojas de cálculo quedan fuera del análisis, lo que permite al atacante enviar el archivo CSV y solicitar que se abra de forma local por problemas de compatibilidad y así infectar el equipo de la víctima.


Indicadores de Compromiso

Hashes:
  • 5e561bf9e088f8f2b9c0610fb6f61f6d7655f6a0988a0d304452d8fa73a6a628 (.CSV)
  • cd3d1b4d147a198e1a2b7e3f4370998142bf20cbdfdd3d30cf86d65b5bd40f50 (dropped)
Dominios:
  • http://7bwh.com/wp-content
  • http://7bwh.com/wp-content/plugins/Ultimate_VC_Addons/admin/ifeany/now.exe
  • 99grams.ddns.net (c2)

REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,107,ciberseguridad,74,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,2,Empresas,111,Eventos,5,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,25,Hacking,81,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,22,Nacional,10,Negocios,2,Oracle,1,OS,9,Payload,2,phishing,9,Protocolos,12,Ransomware,8,Recomendaciones,15,Redes,29,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,updates,21,Vulnerabilidades,60,Web,5,WhatsApp,2,wifi,2,Windows,9,
ltr
item
Arkavia Networks News: Malware en formato CSV vía Google Sheets
Malware en formato CSV vía Google Sheets
https://3.bp.blogspot.com/-z4wQhsZ2fNY/XFStVk5zwvI/AAAAAAAABAw/a7qe-W6Zw3cTzizhGZTBacy-abG6V9pMACLcBGAs/s640/malware%2Bcsv.jpg
https://3.bp.blogspot.com/-z4wQhsZ2fNY/XFStVk5zwvI/AAAAAAAABAw/a7qe-W6Zw3cTzizhGZTBacy-abG6V9pMACLcBGAs/s72-c/malware%2Bcsv.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/02/malware-en-formato-csv-via-google-sheets.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/02/malware-en-formato-csv-via-google-sheets.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy