El malware de macros está de regreso

Publicado el 26 Ene 2016

20160127w10

“Advertencia: Este documento contiene macros”. Un mensaje familiar proveniente de los años noventas está de regreso, conforme los atacantes encuentran nuevas formas de hacer que la gente abra los documentos que contienen malware de macros.

Esta nueva amenaza está dirigida a usuarios de grandes organizaciones que utilizan frecuentemente macros. Los correos electrónicos cuidadosamente elaborados con ingeniería social inducen a los usuarios a abrir documentos aparentemente legítimos, y posteriormente habilitar macros. De acuerdo al último Informe de Amenazas de McAfee Labs, los incidentes de macros maliciosos se han incrementado cuatro veces durante el último año.

La ruta de acceso a un amplio sistema de infección a través de malware de macros comienza normalmente con un archivo adjunto de correo electrónico, que parece legítimo, a menudo diseñado socialmente para ajustarse al usuario objetivo. Los encabezados más comunes en el “asunto” del correo incluyen frases tales como solicitud de pago, notificación de envío, reanudar, factura de venta, y confirmación de donación. El texto del correo electrónico coincide con el asunto del mismo y contiene la suficiente información para hacer que el documento adjunto sea abierto, incluyendo firmas de los remitentes y logotipos que parecen oficiales.

Una vez abierto el archivo adjunto, las funcionalidades de seguridad del sistema avisarán a los usuarios que el archivo contiene macros, y preguntará si desean habilitarlos. Algunos de estos archivos muestran el aviso de que están protegidos y que los macros deben ser habilitados para verlos. Si el usuario hace clic en “Habilitar”, el código malicioso se ejecuta, colocando un descargador de malware en el sistema y posteriormente se eliminará a sí mismo. El código malicioso también se puede incorporar en el documento como un Objeto Activo, que también genera advertencias cuando se haga clic en él, pero muchos usuarios pueden no estar familiarizados con la amenaza potencial de estos archivos.

Uno de los mayores cambios al malware de macros desde la última gran infestación es su capacidad actual de ocultarse, haciendo mucho más difícil detectarlo. Los autores de malware de macros han adoptado varias técnicas de otros tipos de malware, incluyendo la adición de código basura y la escritura de complejas cadenas cifradas. El código no deseado es simplemente eso, código que nunca debía ejecutarse, pero puede ser fácilmente generado y cambiado con frecuencia para derrotar a los algoritmos de detección de firma y confundir a los investigadores de amenazas. Más complicado es el uso de múltiples funciones sencillas, tales como la conversión de caracteres, para ocultar el URL malicioso de gateways de correo electrónico y analizadores de palabras claves de malware.

La simplicidad y facilidad de codificación de macros hace accesible a una amplia gama de criminales con habilidades tecnológicas mínimas.

Intel Security, para que los usuarios eviten ser víctimas de los cibercriminales a través de este tipo de ataques, entrega las siguientes recomendaciones:

· Capacitación al personal. Las empresas deben volver a capacitar a los usuarios en relación a esta amenaza fomentando mejores hábitos digitales en beneficio de su información y el de la organización.

· Actualización del sistema operativo y las configuraciones de seguridad de macros. Se deberán de mantener las configuraciones de seguridad de macros en los niveles más altos.

· Las aplicaciones de correo electrónico no deben abrir automáticamente archivos adjuntos. Ajuste la configuración de su correo electrónico para evitar la descarga automática de los archivos adjuntes.

· Configuración de gateways de correo electrónico y los analizadores de virus. Los gateways también deben configurarse para buscar y filtrar archivos adjuntos de correo electrónico que contengan macros.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 3