Escrito por:
Francisco Alejandro Cifuentes Torres-Cyber SOC Expert
Luego que Microsoft decidiera bloquear por defecto la ejecución de macros en sus programas Excel y Word, los ciberdelincuentes han desarrollado nuevos métodos para saltar la protección implementada por la compañía como el uso de archivos ISO y RAR para poder seguir infectando los equipos atacados con malware y/o ejecución de código.
De acuerdo con la investigación de la compañía Proofpoint, desde el mes de octubre del año pasado hasta el pasado mes de junio se había visto una reducción en el uso de macros de tipo VBA y XL4 para la infección de equipos mediante archivos Word o Excel, esta reducción viene impulsada por la decisión de Microsoft de implementar un mecanismo denominado MOTW (Mark Of The Web) el cual puede identificar el origen de un archivo. De esta manera, si el archivo proviene de una fuente no confiable como lo es internet, las macros vendrán deshabilitadas por defecto y por ende las acciones que el ciberdelincuente ha configurado no podrán ser ejecutadas
Sin embargo, los ciberdelincuentes siempre van a ir un paso adelante y se van a idear nuevas maneras para poder saltar estos controles. Por el momento, la misma compañía en su informe indica que se ha visto como la utilización de adjuntos con extensiones ISO, RAR y archivos LNK ha tenido un incremento de cerca el 175% en este mismo periodo de tiempo. Siendo los archivos LNK los que mayores riesgos están generando a los equipos dado su bajo peso en algunos casos y que permiten ejecutar código de PowerShell en un par de líneas.
Los ciberdelincuentes han pasado a utilizar este tipo de archivos ya que pueden comprimir y contener los archivos de Excel y Word sin que el sistema pueda detectar de donde provienen una vez son descomprimidos, y, por ende, no es posible que se aplique el control anteriormente descrito. Adicional a esto muchos atacantes están implementando el uso de contraseñas en estos archivos adjuntos, esto para que los motores de detección no puedan inspeccionar el contenido de estos y en muchas ocasiones pueda ser entregado exitosamente el correo al buzón de la víctima.
Aunque no todo son malas noticias, la implementación de este tipo de medidas ha hecho que los atacantes vean menos atractivo este vector de ataque, ya que es menos probable que un usuario ejecute un archivo que tenga que descomprimir y adicionalmente poner una contraseña, por ende, se esperaría que en los próximos años se dé una reducción general dé este tipo de ataques.
Recomendaciones:
Al igual que en los ataques de phishing de siempre la recomendación principal es no abrir los adjuntos que puedan ir acompañados de este tipo de archivos, ni tampoco acceder a los links que estos puedan tener, ya que otra metodología utilizada comúnmente es que estos archivos maliciosos están alojados en contendores de nube tales como Drive o OneDrive lo que hace muy complicado que un motor de análisis pueda detectar como malicioso porque este tipo de sitios son permitidos en muchas compañías dado su uso corporativo. Finalmente, es de esperar que este fenómeno se pluralice en nuestro escenario colombiano en los meses siguientes teniendo en cuenta el escenario geopolítico y económico que puede ocasionar que los delincuentes típicos migren a las plataformas digitales al ser mucho más atractivas al público en general y se puedan aprovechar de la poca educación digital que posee en este momento nuestro país.
Fuentes:
