Não é de hoje que o pacote Office da Microsoft e sua gama de produtos, como Excel, Word, PowerPoint, OneNote, entre outros, têm sido utilizados como portas de entrada para agentes maliciosos. Recentemente, uma equipe da Talos, da Cisco Systems, soltou uma nota de aviso de que vários documentos enviados ao serviço VirusTotal continham estruturas relacionadas a possíveis ameaças executadas nas macros.
Mas afinal, o que são essas macros?
Em termos simples, macros são sub-rotinas pré-programadas que podem ser ativadas automaticamente ou manualmente dentro de um software, como os utilitários do Microsoft Office. Originalmente projetadas para automatizar tarefas repetitivas, elas agilizam processos que, de outra forma, seriam demorados.
Há anos, agentes mal-intencionados utilizam macros para executar scripts automaticamente, abrindo portas para a introdução de malware em sistemas de usuários desavisados que baixam documentos aparentemente inofensivos da web. Uma vez ativadas, as macros podem instalar malware diretamente ou conectar o dispositivo a um servidor externo cente controle, permitindo o download de cargas maliciosas adicionais.
Para reforçar a segurança dos usuários, a Microsoft, nas versões mais recentes do Office, desativou a execução automática de macros o que impede majoritariamente a execução de scripts maliciosos.
O que foi encontrado?
Pesquisadores da Cisco Talos descobriram que agentes mal-intencionados continuam tentando explorar a funcionalidade de macros em versões mais antigas do software. Essa descoberta foi feita após a análise de vários documentos do Microsoft Office carregados no VirusTotal por diversos usuários entre maio e julho deste ano, todos gerados por uma ferramenta chamada “MacroPack”.
Caso você não saiba, o MacroPack é uma ferramenta que cria documentos do Microsoft Office (como arquivos Word e Excel), com o objetivo de testar a segurança de sistemas e arquivos. De certa forma, ele também pode automatizar o processo de ofuscação (esconder o código malicioso para dificultar sua detecção) e gerar documentos para serem usados em testes de intrusão, ajudando a avaliar como os sistemas se comportam diante de possíveis ataques.
Embora as evidências não apontem para um movimento generalizado, muitos dos arquivos parecem ter origens lícitas, sendo utilizados por equipes de Red Team em testes de invasão.
No entanto, outros documentos continham táticas e técnicas que indicavam intenções maliciosas como, por exemplo, em vez de nomes de variáveis e funções gerados de forma pseudo-aleatoriamente, eles consistiam em combinações de palavras reais escolhidas aleatoriamente o que poderia indicar variações intencionais externas.
Durante a análise, os documentos foram agrupados e catalogados, e alguns apresentaram pequenas essas variações que sugerem a presença de cargas maliciosas. É interessante pensarmos que embora a equipe BlueTeam usem o VirusTotal para fazer upload de documentos suspeitos, um agente de ameaça pode usar o site para ver se um mecanismo antivírus pode detectar o malware que ele criou e com isso melhorar seu script.
Após essas descobertas a equipe da Cisco Talos, assim como a Microsoft recomendam que todos os usuários atualizem constantemente seus aplicativos e não utilizem de forma alguma versões antigas.
Neste texto evitamos entrar em muitos detalhes técnicos, caso queria saber mais detalhes, acesse: Agentes de ameaças usando o MacroPack para implantar cargas úteis Brute Ratel, Havoc e PhantomCore.
Fontes:
top