Con el paso del tiempo los cibercriminales se hacen más y más creativos, y parece que ese consejo eterno que se nos da todo el tiempo sobre no hacer click en cosas sospechosas, empieza a quedarse corto para protegernos de algunas amenazas, ya que en muchos casos no hace falta ni que tomemos esa acción.
Un nuevo malware para Office descarga un troyano a tu ordenador con solo pasar el puntero del mouse sobre un enlace dentro de una presentación de PowerPoint. Se trata de un nuevo tipo de amenaza que ya no requiere el uso de macros de Office para ejecutar scripts maliciosos y descargar e instalar malware en un ordenador.
Investigadores de seguridad han descubierto un archivo de PowerPoint cargado con esta trampa. La presentación se envía a las víctimas a través de correo electrónico como un archivo adjunto haciéndose pasar por un email de confirmación de compra de un producto.
La extensión del archivo infectado es .ppsx, es decir, el archivo de presentación de PowerPoint de solo lectura que no puede ser editado. El archivo contiene una sola diapositiva que muestra un mensaje engañoso de carga como se ve en la imagen arriba.
Cuando el usuario pase el puntero del mouse por encima del texto con el enlace, inmediatamente se ejecuta el código malicioso. Por suerte, en Office 2010 y versiones posteriores, existe una función de seguridad activa por defecto que mostrará una advertencia de seguridad previniendo el ataque.
"Office Protected View" o "vista protegida" de documentos, bloquea la edición del documento, la descarga de archivos adjuntos, y en este caso el ataque del malware. Lamentablemente, es una de esas funciones que el usuario puede decidir ignorar por considerarla molesta, y más de uno la desactiva por completo porque suele detectar falsos positivos.
Recientemente el laboratorio antivirus de la Empresa de Seguridad y Consultoría Informática (Segurmática) procedió al análisis y estudio del archivo de formato Ppsx identificado por Kaspersky Antivirus como Trojan-Downloader.PowerShell.Agent.ao.
Su característica curiosa es que se produce la infección y ejecución del código maligno sin contener macros VBA en el archivo PPSX, y con solo pasar el ratón sobre el hipervínculo en el documento que nos llega, fundamentalmente por el correo electrónico, este archivo de Microsoft Powerpoint establece en el componente slide1.xml de la estructura del formato Open Office Xml la vinculación entre la acción de sobrepasar el ratón sobre el hipervínculo en el Slide correspondiente del documento y el recurso rIdn con la acción a seguir de ejecución de un programa.
En el componente slide1.xml.rels de la estructura define de manera concreta la relación anterior, tal que al recurso rIdn asociado de tipo hipervínculo declara el programa que será ejecutado, en este caso un programa externo lo cual también se declara, siendo este el Powershell de Windows al que le pasa de manera seudo ofuscada la cadena de parámetros de línea de comandos, que de manera oculta y no interactiva en accede a un sitio Web hardcoded y descarga fichero de tipo java script encriptado, el que posteriormente es invocado a su ejecución.
Este Programa Maligno está incluida su detección en el Segav como Troyano PPM2K.AGENT.AO siendo detectado y eliminado por nuestro Antivirus
