top of page
  • Foto del escritorInternational IT

BazarBackdoor: ¿Cómo evitar el malware que usa archivos de texto CSV?

Actualizado: 6 jul 2022

<iframe src="https://go.internationalit.com/l/906742/2022-07-05/7fgs5" width="100%" height="660" type="text/html" frameborder="0" allowTransparency="true" style="border: 0"></iframe>El investigador de malware Chris Campbell ha detectado una nueva campaña de phishing que utiliza archivos de texto CSV (valores separados por comas) especialmente diseñados para infectar los dispositivos de los usuarios con el troyano BazarBackdoor.




Los archivos CSV se utilizan a menudo para intercambiar datos simples entre bases de datos y aplicaciones. Como este tipo de archivo solo contiene texto sin código ejecutable, muchos usuarios piensan que es inofensivo y abren el documento. No sospechan que el archivo podría ser un vector de amenaza a través del cual el malware puede ingresar a sus dispositivos si el archivo CSV se abre con aplicaciones que admiten Dynamic Data Exchange (DDE) como Microsoft Excel y OpenOffice Calc. Estas aplicaciones pueden ejecutar fórmulas y funciones en el archivo CSV.


Los ciberdelincuentes utilizan la función DDE para ejecutar comandos arbitrarios, que descargan e instalan el troyano BazarBackdoor, para comprometer y obtener acceso completo a las redes corporativas de las víctimas. En comparación con otros enfoques de ataque populares con macros maliciosas o códigos VBA ocultos en archivos de MS Office, las amenazas ocultas en documentos DDE son más difíciles de detectar.


Examinando cuidadosamente el archivo, podemos ver un =WmiC| (Comando de interfaz de administración de Windows) contenido en una de las columnas de datos. Si las víctimas sin darse cuenta permiten que se ejecute esta función DDE, se creará un comando de PowerShell. Los comandos abrirán una URL remota para descargar un BazarLoader y se instalará BazarBackdoor en la máquina de la víctima.





¿Cómo le ayuda Deep CDR de OPSWAT a defenderse de los ataques DDE?


Puede proteger su red de estas sofisticadas campañas de phishing limpiando los archivos adjuntos de correo electrónico antes de que lleguen a sus usuarios. Con la mentalidad de que cada archivo presenta una amenaza potencial y centrándose en la prevención en lugar de la simple detección, Deep CDR elimina todo el contenido activo de los archivos mientras mantiene la misma usabilidad y funcionalidad del archivo. Deep CDR es una de las seis tecnologías clave en MetaDefender, una plataforma avanzada de prevención de amenazas de OPSWAT que realmente adopta la metodología de seguridad Zero Trust .


Puede ver a continuación los detalles de la limpieza después de procesar el archivo CSV infectado con MetaDefender Core . Deep CDR neutraliza la fórmula en el archivo para que no se creen comandos de PowerShell, lo que evita que se descargue malware.



En ataques similares, los hackers utilizan fórmulas más complejas para evitar la detección. Normalmente, las fórmulas en MS Excel comienzan con un signo igual (=). Sin embargo, como esta aplicación también acepta fórmulas que comienzan con un signo diferente, como "=+" o "@", en lugar de solo "=", la fórmula destructiva en los archivos CSV puede ser:


=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")

Um texto em CSV se torna um link clicável no Excel
Un texto CSV se convierte en enlace en el que se puede hacer clic en Excel

Estos tipos de fórmulas pueden engañar a algunos sistemas CDR comunes. Sin embargo, OPSWAT Deep CDR puede lidiar fácilmente con esta táctica y producir archivos limpios y seguros para el consumo, neutralizando la amenaza.


Además, la tecnología OPSWAT MetaDefender Multiscanning utiliza más de 35 motores antimalware y mejora significativamente la detección de amenazas conocidas y desconocidas (Zero Day).


Fuente: OPSWAT

 

Cuente con International IT y OPSWAT para implementar una metodología Zero Trust y proteger la infraestructura crítica de su empresa.


Entradas Recientes

Ver todo

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page