a notebook with a cartoony bomb on the page. illustration credit: Shutterstock
Búsqueda de Ciberamenazas

Qakbot automatiza la distribución de archivos OneNote maliciosos

Un ataque "QakNote" a gran escala despliega archivos .one maliciosos como nuevo vector de infección

Desde principios de año, hemos estado siguiendo el crecimiento de los actores de amenazas de malware que se aprovechan de un formato de archivo de Office del que (antes) se abusaba poco: los archivos .one utilizados por la aplicación OneNote. Lo mismo han hecho otras empresas de seguridad.

Nuestro análisis inicial de este vector de amenazas reveló una serie de ataques de malware a pequeña escala, pero ahora un grupo de malware más importante, Qakbot, ha empezado a utilizar el método en sus campañas de una forma mucho más automatizada y racionalizada.

cuaderno
El “cuaderno” malicioso de OneNote es un documento de una sola página con este aspecto

En nuestra investigación anterior sobre Qakbot, observamos que los actores de la amenaza suelen utilizar mensajes de correo electrónico como vector de ataque inicial. La red de bots es capaz de “inyectar” un correo electrónico malicioso en medio de hilos de conversación existentes, secuestrando la(s) cuenta(s) de correo electrónico de máquinas previamente infectadas para responder a todas las partes en un mensaje con un archivo adjunto malicioso o un enlace a un sitio web que aloja un archivo malicioso.

Cómo empezaron los ataques

Qakbot empezó a utilizar documentos .one de OneNote (también llamados “cuadernos” por Microsoft) en sus ataques el 31 de enero. El martes pasado, observamos dos campañas de spam paralelas: en una, los correos incrustan un enlace, que incita al destinatario a descargar un archivo .one malicioso. En estas versiones del malspam, se repite el apellido del destinatario en el asunto del mensaje, pero por lo demás los mensajes son bastante impersonales.

malspam
Un malspam transmitido por Qakbot con un enlace incrustado a un documento de OneNote

El otro consiste en las llamadas “inyecciones de hilo de mensajes”, en las que las partes de una comunicación existente reciben una respuesta a todos (aparentemente del usuario del ordenador infectado) con un cuaderno de OneNote malicioso adjunto.

El tema de estos mensajes puede ser tan variado como lo que haya en la bandeja de entrada del correo electrónico del ordenador infectado. Pero, a pesar de ello, eran fáciles de encontrar porque todos los archivos adjuntos se llamaban ApplicationReject_#####(Jan31).one o ComplaintCopy_#####(Feb01).one (donde el ##### era un número aleatorio de cinco dígitos).

malspam
Un malspam enviado por Qakbot con un archivo adjunto de OneNote

En las pruebas, solo los navegadores que transmiten la cadena User-Agent de un ordenador Windows, en la consulta reciben el cuaderno .one malicioso. Todas las demás cadenas de Usuario-Agente reciben un 404 del servidor que aloja el archivo .one malicioso.

Hicimos la prueba alternando las cadenas de Usuario-Agente entre los navegadores habituales de Windows (Chrome, Firefox, Edge) y los Usuarios-Agente de navegadores de otras plataformas (Mac/iOS, Linux y Android). Solo funcionaban las solicitudes enviadas con una cadena de agente de usuario de Windows. Cada solicitud a la misma URL entregaba una muestra única.

zip
Cuadernos maliciosos de OneNote incluidos en archivos Zip, tal y como los entregan los servidores de carga útil de Qakbot
Cuadernos
Cuadernos de OneNote maliciosos “ApplicationReject” seleccionados, entregados como archivos adjuntos de correo electrónico

Aparte del vector del correo electrónico, todos los documentos de OneNote en este caso contienen una imagen estática que pide al usuario que haga clic en un botón en respuesta a un texto que dice “Este documento contiene archivos adjuntos de la nube, para recibirlos, haz doble clic en ‘abrir'”. Si el usuario pasa el puntero del ratón por encima del botón “Abrir”, aparece un tooltip que llama la atención sobre la aplicación HTML incrustada en el documento, denominada attachment.hta.

OneNote
Los archivos maliciosos de OneNote contienen un .hta incrustado que se hace evidente al pasar el puntero del ratón sobre el botón Abrir

Cómo convertir un cuaderno en un arma

Al hacer clic en el botón “Abrir” incrustado en la página, se ejecuta la aplicación HTML (archivo attachment.hta) incrustada en el archivo OneNote. El archivo .hta recupera una muestra de Qakbot de un servidor remoto y la ejecuta.

La mayoría de los archivos .hta contenían un lenguaje de secuencias de comandos idéntico, con la diferencia principal de que algunos apuntaban a URL diferentes.

Comparación
Comparación de dos archivos application.hta diferentes utilizados en este ataque

La primera línea del script es una larga línea de código ofuscado que otras partes del script decodifican. Contiene las instrucciones a seguir por el resto del ataque:

script
El script descodificado del .hta que realiza la descarga de la carga útil

Este código del script pasa una URL codificada a la aplicación curl.exe, que recupera el archivo en el otro extremo. Las muestras de los servidores tenían sufijos de archivo con formato de imagen, como .png o .gif, pero en realidad eran DLL.

A continuación, el script copia el archivo descargado en la carpeta C:\ProgramData y lanza la DLL utilizando la función “Wind” del comando para ejecutarla.

En este sistema de prueba, la carga útil del malware Qakbot se inyectó en AtBroker.exe, el gestor de tecnología de asistencia de Windows, una aplicación estándar de Windows.

Qakbot se inyectó en AtBroker.exe
Qakbot se inyectó en AtBroker.exe

También observamos una característica única de los cuadernos de OneNote maliciosos: si intentábamos hacer clic con el botón derecho y guardar los elementos gráficos del cuaderno en el sistema de prueba, el cuadro de diálogo se rellenaba previamente con el nombre de archivo que se había asignado a la imagen cuando se incrustó en el documento. En este caso, el nombre de archivo utilizado originalmente cuando se creó el botón “Abrir” es Безымянный рисунок (bezymyanny risunok, “Dibujo anónimo” en ruso), un detalle curioso.

¿No abras archivos, aunque conozcas al remitente?

No debería sorprender que un actor de amenazas intente aprovecharse de un formato de archivo novedoso para propagar una infección. Si no tienes la costumbre de trabajar con OneNote o su formato de documento, es posible que no estés familiarizado con la forma en que se puede abusar de estos archivos.

A lo largo de los años, los administradores de correo electrónico han establecido reglas que impiden rotundamente, o lanzan severas advertencias, sobre cualquier mensaje entrante procedente de fuera de la organización con una variedad de formatos de archivo abusables adjuntos. Parece probable que los cuadernos .one de OneNote sean el próximo formato de archivo que acabe en la guillotina de los archivos adjuntos al correo electrónico, pero por ahora sigue siendo un riesgo persistente.

Vimos aparecer al menos dos cuadros de diálogo de advertencia, generados por OneNote, al abrir los documentos. Una de estas advertencias contenía un sabio consejo que repetiremos aquí: “Abrir archivos adjuntos podría dañar tu ordenador y tus datos. No lo abras a menos que confíes en la persona que creó el archivo”.

Por supuesto, la salvedad a este consejo es que la persona que “envió” el archivo en realidad no lo envió, sólo parece proceder de su cuenta. Cuando no estés seguro y veas ventanas emergentes advirtiendo de graves consecuencias si sigues adelante, tómate un momento para llamar o enviar un mensaje de texto al remitente y asegurarte de que realmente te lo ha enviado antes de abrir cualquier documento de OneNote que puedas recibir inesperadamente por correo electrónico.

Protección de Sophos

A pesar de que se trata de una nueva táctica de los autores de Qakbot, los clientes de Sophos disponían de protección proactiva contra el comportamiento en varios puntos de la cadena de ataque:

  • Evade_25a (T1218.011)
  • Evade_7a (T1055.012, mem/qakbot-h)
  • Discovery_2b (T1018)
  • Persist_3a (T1547.001)

Además, hemos actualizado nuestra cobertura estática con Mal/DrodZp-A (Zip que contiene cuaderno OneNote), Troj/DocDl-AGVC (archivos maliciosos de cuaderno OneNote) y Troj/HTMLDL-VS (archivo .hta malicioso). Además, se ha añadido a nuestra función de protección del correo electrónico como CXmail/OneNo-B una cobertura basada en el contexto para el correo electrónico con archivos OneNote adjuntos con contenido HTA incrustado.

Los indicadores de compromiso relacionados con estos archivos se pueden encontrar en el Github de SophosLabs.

Agradecimientos

Sophos X-Ops agradece las contribuciones de Colin Cowie y Benjamin Sollman de Sophos MDR, y de Stephen Ormandy de SophosLabs.