Ataque «mouse-over» sobre Power Point descarga troyano bancario

La semana pasada, el experto de ciberseguridad Daniel Doge publicó un artículo sobre una nueva técnica empleada para distribuir malware insertado en archivos PowerPoint sin interacción directa del usuario. Ahora, expertos de TrendMicro han visto un ataque pretendiendo beneficiarse del mismo y descargar un peligros troyano bancario, de nombre Gootkit.

Dicha técnica se basa en eventos «mouse over» o lo que es lo mismo, detectan cuando el ratón se mueve por encima del objeto para desencadenar una acción, en este caso la ejecución de un script para infectar el equipo. De momento se ha visto dicho ataque en países de centro-Europa y Reino Unido.

Esta técnica es empleada por un Trojan Downloader (detectado como TROJ_POWHOV.A por TrendMicro) y se ha encontrado en una campaña de spam en la región EMEA, especialmente en Reino Unido, Polonia, Holanda y Suecia. Las industrias afectadas incluyen fábricas, educación, logística y pirotecnia

Troyano con auto-ejecución servido en PowerPoint

Mensajes maliciosos como estos se disfrazan tras las clásicas facturas o informes financieros, tomando palabras como «impuestos» o «pedidos» como favoritas. Suelen tener un término relacionado con las finanzas seguido de un número.

Estos elementos dañinos contienen un archivo Power Point adjunto, que se abre automáticamente en modo presentación. 

troyano bancario Gootkit

Dicho contenido intentará auto-ejecutarse tan pronto el usuario mueve el ratón sobre la presentación. Sin embargo, lo normal es que sea neutralizado en primer lugar por la seguridad de «Vista Protegida» que incorporala suite Office.

¿Qué ocurre si se ejecuta el malware?

Una vez el usuario descarga y abre el archivo, se requiere interacción por su parte -colocar el ratón sobre una imagen o parte del texto, con un enlace malicioso, que lanzar una acción de tipo mouse-over o (ratón por encima). Además, debe deshabilitar la vista protegida de Power Point para darle plenos poderes al malware.

Este tipo de amenazas se distribuyen abusando de la característica que permite incrustar objetos OLE en los archivos de Office. La técnica emplea una parte de ingeniería social o engaño para ser exitosa.

Una vez se ejecuta la macro incluída en el archivo, el documento ejecuta un script de PowerShell que descarga a su vez otro malware -JS_NEMUCOD.ELDSAUGH- en forma de Archivo codificado Jscript. Este dropper es a su vez encargado de bajar al equipo la última amenaza: el troyano bancario Gootkit.

Hasta ahora no se ha visto una actividad masiva en estas campañas. Parece que los criminales están haciendo pruebas piloto en varias regiones, antes de lanzar lo que presumiblemente será una campaña mucho más grande de infecciones.

¿Cómo prevenir estos ataques?

Es de vital importancia tener en cuenta dos ideas:

Mantener siempre activa la vista protegida en los documentos de Microsoft Office. Es mejor anticipar problemas y desactivarla en un futuro si estamos convencidos.

Mantener el software al día y contar con uno de los mejores antivirus / antimalware del mercado, especialmente aquellos que incluyen protección antiransomware, «por si las moscas».

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.