Cabecera-v2-web.jpg

Microsoft Office: Distribuyen malware sin la necesidad de utilizar macros


En los últimos meses, la cantidad de ataque utilizando macros que poseí­an enlaces para la descarga de instaladores de amenazas informáticas se ha visto incrementada. Se trata de una forma sencilla de engañar al usuario sin levantar sospechas. Troyanos bancarios, ransomware, adware y así­ hasta completar el listado. Expertos en seguridad han descubierto que ciberdelincuentes utilizan Microsoft Office pero sin recurrir a macros.

Hasta este momento, los ciberdelincuentes debí­an engañar al usuario, haciéndole creer que era necesaria la activación de las macros para visualizar todo el contenido del archivo, apoyándose sobre todo en el contenido del correo electrónico, recurriendo en algunos casos a mensajes adicionales ubicados en el propio documento. En estos últimos se indicaba incluso cómo se podí­a llevar a cabo su activación.

Pero por suerte para estos y desgracia para los usuarios, han conseguido sacar partido de otra función, permitiendo que la utilización de las macros no sea necesaria. Estamos hablando de la función Microsoft Dynamic Data Exchange, también conocida DDE.

Para todos aquellos que no la conozcan, permite al usuario realizar la actualización de elementos de los documentos apoyándose en información contenida en otros. Por ejemplo, si tenemos una tabla en documento Word, podemos actualizarla con datos contenidos en una hoja de cálculos de Excel gracias a la función DDE.

No se trata de una función nueva. Sin ir más lejos, por parte de Microsoft se ha visto desplazada por OLE, pero aún se mantiene por motivos de compatibilidad. Con la llegada de este nuevo uso de aplican los ciberdelincuentes, no serí­a raro pensar que tenga fecha de caducidad.

Cómo utilizan los ciberdelincuentes DDE de Microsoft Office para distribuir malware

Después de sacar a la luz cuál es la función que están utilizando, vamos a ver cómo es el método del que se están valiendo para distribuir virus informáticos entre los usuarios.

De cara al usuario, la función utilizada no es nada más y nada menos que un campo de texto en el que se puede indicar el documento a utilizar, instrucciones sin tener que abrir una instancia de otra aplicación perteneciente a la suite de ofimática de Microsoft.

El resultado es que el usuario se encontrará con un mensaje que le indicará que el objeto referenciado contiene enlaces a contenido desconocido y que podrí­a ser perjudicial para el equipo. Pero nada más lejos de la realidad, muy pocas veces se presta atención a este mensaje, de ahí­ que los ciberdelincuentes saquen tajada de la función.

Los ciberdelincuentes utilizan DDE para realizar la apertura de una lí­nea de comandos, proceder con la descarga del instalador de la amenaza y su posterior ejecución. Obviamente, el usuario en ningún momento serí­a consciente de qué es lo que está sucediendo.

La presencia de una herramienta de seguridad resulta clave

Si bien la herramienta no bloqueará la ejecución de la lí­nea de comandos, sí­ será capaz de detectar la instalación de la amenaza y detener su instalación. Por suerte para el usuario, las amenazas utilizadas no son actuales, y los software antivirus con la base de datos de virus correctamente actualizada deberí­a ser capaz de realizar la detección sin ningún problema.

Un grupo de expertos en seguridad se ha puesto en contacto con Microsoft para informar del problema. Obviamente, desde la compañí­a han explicado que no nos encontramos ante un fallo de seguridad. Han querido definir esta función adicional que han encontrado los ciberdelincuentes como un vací­o que no será solucionado en DDE. Tal y como hemos indicado anteriormente, es probable que en futuras versiones la función desaparezca.



Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11