Malware basado en macros continúa ganando fuerza

Después de haber «redescubierto» la utilidad de las macros de MS Office, los distribuidores de malware han aumentado el spam en correo electrónico, enviando documentos que solicitan a los usuarios permiso para su ejecución.

Quienes aceptan, abren la puerta a malware basado en macros, en ocasiones exponiéndose a droppers (aplicaciones que tiene archivos maliciosos embebidos) y en consecuencia, a otro tipo de malware.

Upatre (malware de tipo downloader) es todavía el medio más popular para robo de información como Zeus, o más recientemente para descargar cryptoransomware como Critroni, aunque el malware basado en macros está ganando poco a poco fuerza.

«El spam con malware basado en macros comunmente utiliza ingeniería social mediante notificaciones de voz, correos relacionados con impuestos y pagos pendientes, confirmaciones de pago, compras, órdenes, etcétera. La mayoría del spam incluso contiene los famosos códigos de envío en el asunto del correo para parecer auténtico», explicó el ingeniero Maydalene Salvador, investigador de Trend Micro.

La última ola de spam que utiliza esta táctica es un falso ticket electrónico de la aerolínea Air Canadá con información falsa adjunta en un formulario de un archivo .DOC.

Al ser abierto, el archivo muestra un conjunto de símbolos revueltos y caracteres especiales; y pide al usuario habilitar las macros para «decodificar» el mensaje. Al hacerlo, permite la descarga y ejecución de muchos archivos maliciosos que habilitarán la descarga de malware adicional.

Es importante notar que el spam relacionado con macros puede incluir archivos .DOC, .DOCM, .XLS, .XLSM, PPT, PPTM.

«Como siempre, recomendamos a los usuarios que sean precavidos cuando abran archivos adjuntos en su correo, incluso aquellos de familiares o conocidos», dijo Salvador. «Ignora correos enviados de direcciones desconocidas y evita especialmente abrir cualquier tipo de archivo adjunto. Como una medida adicional, cerciórate de habilitar las características de seguridad de las macros en las aplicaciones». 

Recientemente el UNAM-CERT analizó un correo electrónico de phishing en el que un documento de Microsoft Word supuestamente protegido solicitaba habilitar las macros para poder visualizar las imágenes, que aparecían desenfocadas en el documento por supuestas razones de seguridad. El resultado era la descarga de spyware en la máquina de la víctima.

Fuente:  seguridad.unam.mx