W97M / Downloader Malware

1
WEBIMPRINTS Empresa de pruebas de penetración
Empresa de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
W97M / Downloader Malware
2
W97M / Downloader Malware
Según Webimprints una empresa de pruebas de
penetración, el malware macro está en aumento y
los criminales cibernéticos siempre están
buscando nuevas maneras de engañar a los usuarios
y evitar su detección. W97M / Downloader una
variante descubierta recientemente que utiliza
una nueva técnica para ocultar sus intenciones
maliciosas. Se descubrieron anteriormente
documentos XML de Microsoft Office que contienen
objetos MSO ActiveMime comprimidos. Estos objetos
extraen un objeto OLE cifrado que se ejecuta
junto con el código malicioso dentro de múltiples
macros.
3
Como funciona W97M / Downloader
Según expertos de pruebas de penetración, W97M /
Downloader ha evolucionado la técnica y han
añadido dos nuevas capas de protección a esta
cadena de infección. El documento XML malicioso
está escondida en un objeto de varias partes MIME
distribuido como archivos RTF o .DOC que llegan a
través de phishing o correos electrónicos SPAM.
Al abrir los archivos adjuntos en los correos
electrónicos, el código malicioso en el documento
OLE incrustado ejecuta. Correos electrónicos
maliciosos suelen contener instrucciones que
solicita a los usuarios que habilitar macros y
dar instrucciones específicas para que les
permitan, pero que los usuarios nunca deben
seguir estas instrucciones.
4
Como funciona W97M / Downloader Malware
El código responsable de la descarga y ejecución
de la carga útil ya no está en la macro. En la
actualidad se encuentra en un TextBox objeto
incrustado en un objeto de formulario. El código
malicioso se encuentra oculto dentro del valor y
los atributos de texto en el objeto TextBox, y
por supuesto no es visible en las macros. El
objeto TextBox en el malware es muy pequeño, lo
que oculta de manera eficaz. Hay otras macros en
el documento, pero su única función es de
ejecutar el código en el objeto TextBox comenta
Mike Stevens profesional de empresa de seguridad
informática.
5
W97M / Downloader Malware
Comenta Mike Stevens de empresa de seguridad
informática que la carga maliciosa se asocia con
Dridex, el malware bancario que puede robar las
credenciales de usuario para cuentas de banca en
línea. Dridex se derivó de Cridex y ambos son
parte de la familia de malware GameOver Zeus.
Recomendamos que los usuarios nunca abra correos
electrónicos enviados por desconocidos,
especialmente si vienen con archivos adjuntos
desconocidos. También se recomienda que los
usuarios no permitan la funcionalidad de macro
dentro de Microsoft Office. Experto recomienda a
todos los usuarios mantener sus firmas
antimalware actualizadas.
6
W97M / Downloader Malware
Los únicos objetivos para el malware es infectar
y no ser detectable. El malware cuenta con
autoridad de administrador que este trabajo sea
mucho más fácil, mediante el acceso o el control
de los procesos que utilizan todas las demás
aplicaciones y es capaz de hacer prácticamente
cualquier cosa menciono Mike Stevens de empresa
de seguridad informática.
7
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845