Desde el año pasado en el Laboratorio de Análisis e Investigación de ESET Latinoamérica hemos podido detectar campañas de propagación de malware en diferentes países con una característica de Ingeniería Social en común: el uso de archivos de Word como método para descargar otro tipo de amenazas. Los falsos correos de gobiernos de Guatemala y El Salvador que propagaban un troyano, los correos falsos de Telmex en México o la supuesta campaña que regalaba viajes a París de Aeroméxico son algunos ejemplos de este tipo de campañas.

Pero más allá del hecho de que todas las campañas utilizan estrategias de Ingeniería Social similares aprovechando temas que resultan atractivos para las víctimas, el uso de empresas reconocidas y ocultarse en documentos, es posible encontrar más puntos en común entre todas estas campañas.

El poder de los metadatos

Sabemos que cuando hablamos de metadatos nos referimos a todo tipo de información adicional sobre datos particulares que estemos analizando. Por ejemplo, hemos analizado metadatos en una foto, que nos permitirían saber el tipo de extensión del archivo, el tamaño y la fecha de creación, entre otros. En el caso de los archivos de Office también hay datos adicionales que nos pueden revelar información extra sobre los archivos.

Una herramienta práctica que podemos utilizar para extraer los metadatos de diferentes tipos de archivos, incluyendo los de Office, es hachoir-metadata. Este programa desarrollado en Python nos brinda la posibilidad de extraer de forma ordenada los datos de un documento en particular que queramos analizar, y si lo combinamos con un sencillo script podemos obtener una muy buena herramienta para organizar los metadatos de muchos archivos.

Cómo extraer los metadatos de varios archivos simultáneamente

Por ejemplo, si tenemos una carpeta con varios archivos de Office podemos utilizar el siguiente script para extraer en una matriz algunos metadatos particulares, que nos permitan obtener detalles adicionales de los archivos que tenemos y poder encontrar una relación, si es que esta existe.

hachoir-metadata

Una vez que ejecutamos este sencillo script obtenemos un arreglo de datos, en el cual para cada documento extraemos los autores y la fecha en que fue modificado. Ya estamos en el punto que nos permite empezar nuestro análisis.

¡La historia que nos cuentan los metadatos!

Una vez tenemos todos los datos recolectados, podemos hacer un simple listado en pantalla de todos los autores para empezar a notar algunos patrones que seguramente nos van a llamar la atención.

author

En este caso que analizamos más de 50 muestras de códigos maliciosos de la familia VBA/TrojanDownloader.Agent que vimos en campañas de propagación durante el año pasado. De esta información se puede identificar fácilmente que solamente hay 4 autores diferentes para todos los archivos. Si además listamos la fecha de la última modificación del archivo, podemos notar que hay cierta periodicidad en la modificación del archivo.

lastmodification

Y si a nuestro script anterior agregamos una nueva línea para obtener la fecha de creación del archivo, y listamos como en los casos anteriores, nos encontramos con la sorpresa que más de las tres cuartas partes de los archivos analizados fueron creados en la misma fecha.

creationdate
Con esta información ya podemos identificar que hay una correspondencia entre los diferentes archivos analizados. Más allá de que cada archivo estuviera asociado a una campaña que utilizaba empresas u objetivos diferentes, es posible identificar que se trata de archivos que están relacionados.

Este tipo de análisis ponen de manifiesto que también en Latinoamérica nos encontramos con cibercriminales que de forma sistemática propagan amenazas para afectar la mayor cantidad de usuarios poco precavidos. De esto se desprende la necesidad de estar al tanto sobre cómo operan este tipo de campañas para tomar las medidas preventivas necesarias que garanticen que no seremos las próximas víctimas.

¿Se les ocurre que otro tipo de información podríamos obtener si cruzamos los datos? ¿De qué otra forma podríamos aprovechar estos análisis?