El bloqueo de macros es solo el primer paso para vencer el malware

August 02, 2022
EnNoticias Seguridad De Internet

La decisión de Microsoft de bloquear macros privará a los actores de amenazas de este medio popular para distribuir malware.
Sin embargo, los investigadores señalan que los ciberdelincuentes ya han cambiado de rumbo y han reducido significativamente el uso de macros en campañas de malware recientes.
Bloquear macros es un paso en la dirección correcta, pero al final del día, las personas deben estar más atentas para evitar infectarse, sugieren los expertos.

Una computadora de Microsoft que muestra una advertencia sobre un archivo malicioso. — Ed Hardie/Unsplash.

Mientras Microsoft tomó su propio tiempo dulce Al decidir bloquear las macros de forma predeterminada en Microsoft Office, los actores de amenazas se apresuraron a solucionar esta limitación y diseñar nuevos vectores de ataque.

De acuerdo a nueva investigación por el proveedor de seguridad Proofpoint, las macros ya no son el medio favorito para distribuir malware. El uso de macros comunes disminuyó aproximadamente un 66 % entre octubre de 2021 y junio de 2022. Por otra parte, el uso de archivos ISO (una imagen de disco) registró un aumento de más del 150%, mientras que el uso de

Archivos LNK (acceso directo a archivos de Windows) aumentó un asombroso 1,675% en el mismo período de tiempo. Estos tipos de archivos pueden eludir las protecciones de bloqueo de macros de Microsoft.

"Los actores de amenazas que se alejan de la distribución directa de archivos adjuntos basados en macros en el correo electrónico representan un cambio significativo en el panorama de las amenazas". Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint, en un comunicado de prensa. "Los actores de amenazas ahora están adoptando nuevas tácticas para entregar malware, y se espera que continúe el uso creciente de archivos como ISO, LNK y RAR".

Moviéndose con los tiempos

En un intercambio de correo electrónico con Lifewire, Harman Singh, Director en proveedor de servicios de ciberseguridad Cifrar, describió las macros como pequeños programas que se pueden usar para automatizar tareas en Microsoft Office, siendo las macros XL4 y VBA las macros más utilizadas por los usuarios de Office.

Desde la perspectiva del delito cibernético, Singh dijo que los actores de amenazas pueden usar macros para algunas campañas de ataques bastante desagradables. Por ejemplo, las macros pueden ejecutar líneas de código maliciosas en la computadora de una víctima con los mismos privilegios que la persona que inició sesión. Los actores de amenazas pueden abusar de este acceso para filtrar datos de una computadora comprometida o incluso obtener contenido malicioso adicional de los servidores del malware para atraer malware aún más dañino.

Sin embargo, Singh se apresuró a agregar que Office no es la única forma de infectar los sistemas informáticos, sino que "es uno de los [objetivos] más populares debido al uso de documentos de Office por parte de casi todos en el Internet."

Para dominar la amenaza, Microsoft comenzó a etiquetar algunos documentos de ubicaciones no confiables, como el Internet, con el atributo Mark of the Web (MOTW), una cadena de código que designa activadores de seguridad caracteristicas.

En su investigación, Proofpoint afirma que la disminución en el uso de macros es una respuesta directa a la decisión de Microsoft de etiquetar el atributo MOTW en los archivos.

Singh no se sorprende. Explicó que los archivos comprimidos como los archivos ISO y RAR no dependen de Office y pueden ejecutar código malicioso por sí mismos. "Es obvio que cambiar las tácticas es parte de la estrategia de los ciberdelincuentes para asegurarse de que pongan su esfuerzo en el mejor método de ataque que tenga la mayor probabilidad de [infectar a las personas]".

que contiene malware

Incrustar malware en archivos comprimidos como archivos ISO y RAR también ayuda a evadir las técnicas de detección que se enfocan en analizar la estructura o el formato de los archivos, explicó Singh. "Por ejemplo, muchas detecciones de archivos ISO y RAR se basan en firmas de archivos, que se pueden eliminar fácilmente al comprimir un archivo ISO o RAR con otro método de compresión".

Manos en un teclado de computadora con un gráfico de virus superpuesto en la pantalla. — sarayut / Getty Images

Según Proofpoint, al igual que las macros maliciosas anteriores, el medio más popular para transportar estos archivos cargados de malware es a través del correo electrónico.

La investigación de Proofpoint se basa en el seguimiento de las actividades de varios actores de amenazas notorios. Observó el uso de los nuevos mecanismos de acceso inicial que están utilizando los grupos que distribuyen el malware Bumblebee y Emotet, así como varios otros ciberdelincuentes, para todo tipo de malware.

"Más de la mitad de los 15 actores de amenazas rastreados que usaron archivos ISO [entre octubre de 2021 y junio de 2022] comenzaron a usarlos en campañas después de enero de 2022", destacó Proofpoint.

Para reforzar su defensa contra estos cambios en las tácticas de los actores de amenazas, Singh sugiere que las personas tengan cuidado con los correos electrónicos no solicitados. También advierte a las personas que no hagan clic en enlaces y abran archivos adjuntos a menos que estén seguros de que estos archivos son seguros.

"No confíes en ninguna fuente a menos que estés esperando un mensaje con un archivo adjunto", reiteró Singh. "Confíe, pero verifique, por ejemplo, llame al contacto antes de [abrir un archivo adjunto] para ver si realmente es un correo electrónico importante de su amigo o uno malicioso de sus cuentas comprometidas".