Droppers de Locky Ransomware con extra de anti-Sanboxing

Recientemente un viejo conocido ha vuelto a las andadas. Se trata del Ransomware “Locky”, el cual hace cerca de un año estuvo muy activo a través de campañas de #Malspam (Correo Spam con la finalidad de instalar malware en el sistema de la víctima ) mayoritariamente con ficheros de scripting como “.js”, “.wsf” o “.vbe”. Desde entonces ha seguido manteniendo actividad, aunque en menor medida.
Recientemente han empezado una nueva campaña en la que utilizan ficheros .doc (MSOffice Word) con macros, como el siguiente:


El dato curioso de estos documentos consiste en que, al contrario del caso típico en el que las macros se encuentran en la función “autoOpen()” que ejecuta el código automáticamente al abrir el fichero, en este caso se encuentra en la función “autoClose()”:

De esta forma, al abrir el documento y habilitar las macros no ocurre nada, de hecho, cuando se ejecuta este documento en un entorno de Sandboxing como Cuckoo, no realiza ninguna acción en una configuración normal.
No es hasta que un usuario cierra el documento tras ver que no aparece nada, cuando ocurre toda la lógica que contienen las macros. En el caso de Cuckoo, este mata el proceso, por lo que no llega a hacer ni reportar nada.
Una vez cerramos el editor, aparece justo antes de desaparecer el proceso, un nuevo “Poweshell.exe” con los típicos parámetros de un dropper de malware:

Y tras ser ejecutado, instala y ejecuta desde la carpeta %APPDATA% el fichero descargado al que llama mMdsWxuR.exe, el cual en este caso resulta ser una muestra del ransomware Locky como se puede observar en las alertas de IDS generadas por el tráfico que genera esta amenaza cuando contacta con su servidor de CnC antes de empezar a cifrar todos nuestros ficheros.

Las muestras concretas mencionadas en este post son las siguientes:

No siempre hacen falta técnicas increíblemente avanzadas y complicadas para despistar a más de uno y evitar ser detectado antes de que sea tarde. Siempre hay que mantenerse atentos y en la medida de lo posible no abrir adjuntos de desconocidos, y de tener que hacerlo, ¡evita habilitar macros! ;)