Los ataques mediante macros siguen aumentando, creo que es una de las técnicas más usadas hoy en dia para engañar a los usuarios para lograr su objetivo.
La mayoría de los usuarios puede que nunca haya visto ni oído hablar de este tipo de infección mediante macros maliciosas sin embargo estos métodos de infección se vienen usando desde hace ya algunos años solo que también se han ido mejorando los métodos de infección.
Como el Ransonware llamado Locky que se propaga en el sistema a través de un macro malicioso en un documento de Word una vez infectado encripta los archivos como documentos, imágenes etc con extensión .locky junto con una nota de rescate y se tiene que pagar mediante Bitcoins para el rescate de los archivos.
Que es un Ransonware y como protegerte VER VIDEO.
POC Documento Malicioso
Es momento de empezar con nuestra prueba de concepto para eso usare una presentación en PowerPoint donde insertare una macros maliciosa, aunque también se podrían usar documentos como Word o Excel.
En este caso he generado dos archivos uno llamado powershell_attack.txt que es donde contiene la macros maliciosa y unicorn.rc está la usare para poner la conexión a la escucha.
Ahora pasare a Windows y creare una presentación en PowerPoint, como ejemplo solo he puesto una imagen religiosa, me voy a la opción macros y creo uno nuevo.
Abrirá el editor de Microsoft Visual Basic para Aplicaciones, aquí pondré el código de la macros maliciosa que lo tengo en el archivo llamado powershell_attack.txt, quedara de esta manera:
Y se guarda como Presentación con Diapositivas de PowerPoint habilitada para macros, con esto estamos habilitando las macros.
Solo toca configurar la presentación, para que la macro se ejecute una vez que el usuario pulse en la imagen XD. Selecciono la imagen y me voy a la opción Acción
Mostrará la siguiente ventana de configuración de acción esta quedara de la siguiente manera:
Y con esto ya tendría mi documento malicioso y está listo para ser distribuido lol.
Por otro lado, el atacante tendrá una sesión a la escucha
Una vez que la víctima abra la presentación y pulse en la imagen automáticamente saltará un mensaje de error y se nos cerrará la presentación.
Y el atacante obtendrá una sesión meterpreter y cabum ya estamos dentro del sistema winbugs XD.
Nos vemos en la siguiente entrada :D . . .