Imagen: Adobe Stock

Después de que Microsoft anunciara que comenzaría a bloquear las macros VBA y XL4 de forma predeterminada para las aplicaciones de Windows Office a fines del año pasado, los atacantes comenzaron a usar archivos contenedores como archivos adjuntos ISO y RAR y archivos de acceso directo de Windows (LNK) para proporcionar cargas en su lugar.

“Estamos viendo un cambio en el comportamiento en todo el panorama de amenazas y, como mencionan nuestros investigadores en el informe, lo califican con gran confianza como uno de los cambios más significativos en el panorama de las amenazas por correo electrónico en la historia reciente”, dijo Sherrod DeGrippo. , vicepresidente de Investigación de amenazas. y Detección en Proofpoint. "Los actores de amenazas prestan atención a lo que funciona y lo que no, buscan continuamente formas de ser más efectivos con sus ataques".

Según el proveedor de seguridad Proofpoint, entre octubre de 2021 y junio de 2022, el uso de macros para entregar cargas útiles de malware disminuyó en un 66 %.

Los piratas informáticos utilizan las macros de VBA para ejecutar automáticamente contenido malicioso cuando un usuario ha habilitado macros de forma activa en las aplicaciones de Office. Las macros XL4 son específicas de la aplicación Excel, pero también pueden ser armadas por actores maliciosos, dijo Proofpoint. Los actores de amenazas utilizan tácticas de ingeniería social para engañar a los usuarios para que habiliten las macros, que son necesarias para ver el contenido del archivo.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

"Los malos actores envían macros en los archivos de Office a los usuarios finales que, sin saberlo, los activan, se entregan cargas maliciosas y el impacto puede ser grave, incluido el malware, la identidad comprometida, la pérdida de datos y el acceso remoto", dijo Microsoft en una publicación de blog sobre el problema. .

Índice
  • Pasar por alto la marca de la web
  • Pasar por alto la marca de la web

    Microsoft bloquea las macros de VBA en función de un atributo Mark of the Web (MOTW) conocido como identificador de zona que indica si un archivo proviene de Internet, de una fuente restringida y, por lo tanto, si es confiable. El problema es que se puede eludir MOTW mediante el uso de formatos de archivo contenedor como ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) para enviar documentos habilitados para macros.

    "Una vez descargados, los archivos ISO, RAR, etc. tendrán el atributo MOTW porque se descargaron de Internet, pero el documento interno, como una hoja de cálculo habilitada para macros, no lo tendrá", dijo Proofpoint en un comunicado de prensa. "Cuando se desprotege el documento, el usuario aún deberá habilitar las macros para que el código malicioso se ejecute automáticamente, pero el sistema de archivos no identificará el documento como proveniente de la web".

    Los atacantes también pueden usar archivos contenedores para distribuir cargas útiles directamente, dijo Proofpoint. Los archivos contenedores pueden ocultar archivos LNK, DLL o ejecutables (.exe) que conducen a la instalación de una carga útil maliciosa cuando se abren. Los archivos Container XLL, un tipo de archivo de biblioteca de vínculos dinámicos (DLL) para Excel, también experimentaron un aumento en el uso después de que Microsoft anunciara que deshabilitaría las macros XL4 en 2021.

    VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

    Proofpoint también informó un ligero aumento en el uso de archivos adjuntos HTML para propagar malware. La cantidad de campañas de malware que utilizan archivos adjuntos HTML se duplicó con creces desde octubre de 2021 hasta junio de 2022, pero la cantidad general sigue siendo baja.

    "Aunque los tipos de archivos han cambiado, los actores de amenazas aún usan la misma amplia gama de tácticas de ingeniería social para engañar a las personas para que abran y hagan clic", dijo DeGrippo. "La mejor defensa es un enfoque en capas donde las personas están en el centro de su estrategia de seguridad".