¿Sabías que se pueden crear documentos de Office maliciosos? Y lo peor de todo es que al hacer uso de Evil Clippy, esos documentos de Office maliciosos no son detectados por los principales antivirus.
Este tipo de programas funcionan a modo de simulacros para perfeccionar ciertos programas y crear situaciones que pueden darse en la vida real. A base de prueba y error van logrando perfeccionar métodos de reconocimiento de virus en el caso de los antivirus.
Evil Clippy está enfocado a crear documentos de Office maliciosos, llegando incluso a pasar desapercibidos ante el rastreo de los principales antivirus que hay en el mercado.
El asistente de maldoc se ejecuta en Linux, Mac y Microsoft, así que el abanico de daño es casi ilimitado y los desarrolladores de malware practican con estas 3 plataformas.
Si el documento de Office malicioso no pasa por Evil Clippy, se detecta fácilmente cuando lo escaneamos con algún antivirus.
Por el contrario, si se hace uso de Evil Clippy, este programa consigue reconvertir o manipular los documentos de Office maliciosos en un formato de archivo, así cuando pasamos el antivirus estos no se detectan.
Los desarrolladores de Evil Clippy pasaron hasta 59 antivirus diferentes, y solo uno fue capaz de detectar que se trataba de un documento de Office malicioso.
Esto se consigue tras un compendio de códigos y editores que manipulan los archivos de Office. El proceso no es sencillo, o quizás sí, dependiendo de quién lo haga.
Evil Clippy trabaja con dos tipos de archivos, uno es 97 - formato 2003 (.doc y .xls) y el otro es 2007+ (.docm y .xlsm). Ambos son los formatos de archivos con los que trabaja Office. Recordemos que Evil Clippy trabaja en base a esta plataforma.
Siguiendo con los dos formatos mencionados, ambos archivos serán manipulados por Evil Clippy haciendo uso de la biblioteca OpenMCDF de la que dispone de forma intrínseca.
El siguiente paso es usar un editor para la manipulación de los archivos. Evil Clippy se encarga de usar un algoritmo de compresión personalizado y se oculta al motor de los antivirus. De esta forma, los antivirus no podrán detectar la amenaza a través de un análisis estático ya que se habrá conseguido engañar al sistema.
Eso sí, esta herramienta de ataque necesita conocer la versión Office de destino, ya que no es lo mismo instalar una versión de 32 bits que de 64 bits.
Esto es algo que Evil Clippy puede hacer aprovechando la creación automática de plantillas. Una vez la plantilla esté creada y si el documento está abierto, Office se comunicará con su servidor para buscar la plantilla creada con Evil Clippy. De esta forma, Evil Clippy podrá detectar qué versión de Office es a través del encabezado HTTP de destino.
Ahora solo quedaría el último paso, ocultar las macros para no ser detectados por los antivirus. Pero no basta con ocultar el código de cara a una revisión ocular humana, sino hacer las macros invisibles al sistema
Lo que se quiere conseguir es ser inaccesible. Es decir, que los diferentes antivirus no sean capaces de detectar los documentos maliciosos que estamos intentando abrir en el equipo.
Adicionalmente existen diversos trucos para complicar aún más el trabajo de los antivirus y el rastreo de documentos maliciosos como los que se pueden crear al usar Evil Clippy.
Ahora ya sabes que existe Evil Clippy, y que los desarrolladores de malware lo usan para lanzar documentos de Office maliciosos y que sean invisibles a los antivirus. Este tipo de "experimentos" solo conviene hacerlos en pro de las mejoras y la seguridad en Internet, no para causar daños en equipos intencionadamente o para estafar a empresas, etc.
¿Qué marcas de antivirus recomiendas? ¿Conocías Evil Clippy?
Vía: OutFlank
- Ver Comentarios