Malware usa linguagem VBA a mesma usada para scripts e macros

Os especialistas em segurança da Sophos detectaram uma onda de ataques cibernéticos baseados em malwares VBA, essas ameaças são ainda muito insidioso, mas muitas vezes subestimada.

Especialistas da SophosLabs tem observado um aumento no malware VBA, de acordo com seu malware baseado em análise macro responderam por 28 por cento de todos os ataques de malware detectado em julho, contra apenas seis por cento em junho, apesar de 58 por cento dos ataques usados ​​exploits conhecidos .

Os especialistas descobriram diferentes VBA downloader modelos, que contêm o código de VBA e as instruções para os autores de malware em VBA como empacotar seus códigos maliciosos e como ofuscar-lo.

Malwares VBA é largamente utilizado atores ameaça cibernética, devido a possibilidade de mudar rapidamente o seu código para implementar novas técnicas de evasão, as façanhas têm uma estrutura de arquivo rígida que faz com que seja difícil de aplicar qualquer alteração, com a mesma finalidade, sem afetar a funcionalidade.

"Código de Visual Basic é fácil de escrever, flexível e fácil de refatorar. Funcionalidade semelhante muitas vezes pode ser expressa de muitas formas diferentes, o que dá aos autores de malware mais opções para a produção de diferentes versões e viáveis ​​de seu software que eles têm com exploits. ", Escreveu Graham Chantry, pesquisador sênior de segurança da SophosLabs, em um post no blog .

Outra vantagem do uso de malware Visual Basic é que, ao contrário de exploits, eles não estão "vinculados a versões específicas do Microsoft Office", é o suficiente para que as vítimas executar uma versão vulnerável do Office, bem como software anti-vírus não é eficaz para a código malicioso para infectar a máquina.

Malwares VBA tem uma grande desvantagem respeitar exploits, que poderia ser facilmente neutralizado configurar corretamente "Macro Nível de Segurança" da Microsoft. Versões do Office mais recentes, incluindo 2007 ou posterior desativa macros VBA a partir de fontes não confiáveis ​​por padrão e executa o código apenas "se o usuário permite-los explicitamente."

Isso significa que o atacante precisa de mais um esforço para convencer a vítima a executar uma operação, que autoriza a execução do código. Normalmente, isso é feito através de engenharia social, por exemplo, informando ao usuário que o código que está sendo executado tem um propósito para o seu interesse e exige que o disable de características defensivas.

"Para superar essa limitação, os autores de código malicioso VBA tem que usar técnicas de engenharia social para enganar os usuários para a execução de seus macros. ", diz o post.

Malwares documento baseado Visual Basic é normalmente transmitido através de campanhas de spam em que o documento anexado escondido o código malicioso.

O blog inclui um modelo de VBA Malware downloader  em que é necessário substituir o link direto AQUI string com um URI para um código malicioso.

" importa a API do Windows URLDownloadToFile o download de um executável no diretório temporário do usuário "," Uma vez baixado, o código usa o comando a executar a amostra caiu como um processo separado. ", diz o post.

vba modelo de malware

A disponibilidade desses modelos de torná-lo mais fácil de escrever o código malicioso para VBA autores de malware, a estrutura proposta no exemplo pela Sophos é amplamente adotado para VBA downloaders , representando cerca de 34 por cento de todas as macro downloaders que foram detectados pela Sophos  em julho.

Felizmente, as variantes recentemente detectado utilizando estes modelos são muito semelhantes e pode ser facilmente neutralizada através da detecção heurística.

A ameaça representada por malware VBA não deve ser subestimado, como explicado no post os especialistas detectaram numerosas variantes de aplicação de técnicas criativas para infectar máquinas da vítima.

" nós vimos o código Visual Basic executar um script PowerShell codificada, para injetar código assembler para a memória "," variantes mais recentes têm ainda utilizada a linguagem de script AutoIt e tradicional Batchscript . "Ao adicionar novas camadas para o processo de infecção autores de malware estão provavelmente tentando "esconder suas verdadeiras intenções de detecção AV (envolvendo código malicioso dentro assembler PowerShell, dentro do Visual Basic, etc)", explicou Chantry. "Ofuscando a carga maliciosa pode ser pouco eficaz contra baseada em assinaturas estática detecção, mas o processo de obscurecimento si serve como uma excelente característica para detecção heurística. A única questão agora é o que línguas eles vão escolher o próximo? "

Pierluigi Paganini

( Segurança Negócios  - Sophos , VBA Malware )