Buscar
  • CertiNet

Los riesgos de seguridad en documentos: La necesidad de Validación

EtterSilent: el nuevo builder maldoc favorito del undergorund

El ciberdelito frecuentemente imita los comportamientos que vemos en las facetas cotidianas de la vida. El último descubrimiento de Intel 471 es un ejemplo de uno de estos patrones: cuando un producto despega en el mercado, los usuarios se apresurarán a obtenerlo y encontrar formas únicas de usarlo para satisfacer sus necesidades.


El último "producto" es un constructor de documentos maliciosos, conocido en el mundo clandestino como "EtterSilent", que ha sido aprovechado por varios grupos de delitos informáticos. A medida que ha ido ganando popularidad, se ha actualizado constantemente para evitar ser detectado. Utilizado junto con otras formas de malware, es un excelente ejemplo de cómo la facilidad de uso y la concentración de conjuntos de habilidades conducen a una mercantilización de la economía del delito cibernético.


¿Cómo funciona?

Anunciado por primera vez en un conocido foro ruso sobre delitos informáticos, el vendedor ofreció a los usuarios dos tipos de documentos de Microsoft Office armados (maldocs): uno que explota una vulnerabilidad conocida en Microsoft Office (CVE-2017-8570) y otro que utiliza una macro maliciosa. Hasta donde se sabe, el maldoc con la macro es la opción más popular, posiblemente debido a un precio más bajo y una mayor compatibilidad en comparación con el exploit.


El maldoc de EtterSilent con código de macro puede hacerse pasar por un documento DocuSign o DigiCert que solicita a los usuarios que habiliten la compatibilidad con macros que descargan una carga útil en segundo plano.


El documento malicioso, cuando se abre, muestra una plantilla que se hace pasar por DocuSign, el software que permite a personas y empresas firmar documentos electrónicamente. Luego, el maldoc aprovecha las macros de Excel 4.0 almacenadas en una hoja oculta, que permiten descargar una carga útil alojada externamente, escribirla en el disco y ejecutarla usando regsvr32 o rundll32. A partir de ahí, los atacantes pueden hacer un seguimiento y eliminar otros tipos de malware.Un espectáculo de ciberdelincuencia






El 19 de marzo de 2021, EtterSilent se utilizó como parte de una campaña. El maldoc analizado no utilizó una plantilla de DocuSign, pero la hoja principal de Excel se llamó "DocuSign®". El maldoc descargó la carga útil, que a su vez se conectó a otra URL que descargó la puerta trasera relacionada.


Más información:

https://intel471.com/blog/ettersilent-maldoc-builder-macro-trickbot-qbot/

https://www.bleepingcomputer.com/news/security/ettersilent-maldoc-builder-used-by-top-cybercriminal-gangs/


Contáctenos para conocer más acerca de las soluciones que Certinet cuenta para la validación de documentos y firmas electrónicas, escríbanos a marketing@certinet.cl



8 visualizaciones0 comentarios