{"id":6076,"date":"2022-08-05T16:59:03","date_gmt":"2022-08-05T21:59:03","guid":{"rendered":"https:\/\/etek.com\/es\/?p=6076"},"modified":"2022-08-05T16:59:03","modified_gmt":"2022-08-05T21:59:03","slug":"nuevas-metodologias-usan-los-atacantes-luego-de-que-microsoft-bloqueara-las-macros-por-defecto","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/nuevas-metodologias-usan-los-atacantes-luego-de-que-microsoft-bloqueara-las-macros-por-defecto\/","title":{"rendered":"Nuevas metodolog\u00edas usan los atacantes luego de que Microsoft bloqueara las macros por defecto"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"6076\" class=\"elementor elementor-6076\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-59be2c26 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"59be2c26\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7382ed6e\" data-id=\"7382ed6e\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-1c413777 elementor-widget elementor-widget-text-editor\" data-id=\"1c413777\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<!-- wp:paragraph -->\n<p>Escrito por: <\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>Francisco Alejandro Cifuentes Torres<\/strong>-Cyber SOC Expert<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><\/p>\n<!-- \/wp:paragraph -->\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-d9d52e5 elementor-widget elementor-widget-heading\" data-id=\"d9d52e5\" data-element_type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style><h6 class=\"elementor-heading-title elementor-size-default\">Luego que Microsoft decidiera bloquear por defecto la ejecuci\u00f3n de macros en sus programas Excel y Word, los ciberdelincuentes han desarrollado nuevos m\u00e9todos para saltar la protecci\u00f3n implementada por la compa\u00f1\u00eda como el uso de archivos ISO y RAR para poder seguir infectando los equipos atacados con malware y\/o ejecuci\u00f3n de c\u00f3digo.<\/h6>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-aac5e6e elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"aac5e6e\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-50 elementor-top-column elementor-element elementor-element-d241e94\" data-id=\"d241e94\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-14bcd1d elementor-widget elementor-widget-image\" data-id=\"14bcd1d\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/08\/microsoft-bloqueo.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t<div class=\"elementor-column elementor-col-50 elementor-top-column elementor-element elementor-element-2df514a\" data-id=\"2df514a\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-2456403 elementor-widget elementor-widget-text-editor\" data-id=\"2456403\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>De acuerdo con la investigaci\u00f3n de la compa\u00f1\u00eda Proofpoint, desde el mes de octubre del a\u00f1o pasado hasta el pasado mes de junio se hab\u00eda visto una reducci\u00f3n en el uso de macros de tipo VBA y XL4 para la infecci\u00f3n de equipos mediante archivos Word o Excel, esta reducci\u00f3n viene impulsada por la decisi\u00f3n de Microsoft de implementar un mecanismo denominado MOTW (Mark Of The Web) el cual puede identificar el origen de un archivo. De esta manera, si el archivo proviene de una fuente no confiable como lo es internet, las macros vendr\u00e1n deshabilitadas por defecto y por ende las acciones que el ciberdelincuente ha configurado no podr\u00e1n ser ejecutadas<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-76c4e34 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"76c4e34\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-50 elementor-top-column elementor-element elementor-element-d18038b\" data-id=\"d18038b\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-3541a06 elementor-widget elementor-widget-text-editor\" data-id=\"3541a06\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Sin embargo, los ciberdelincuentes siempre van a ir un paso adelante y se van a idear nuevas maneras para poder saltar estos controles. Por el momento, la misma compa\u00f1\u00eda en su informe indica que se ha visto como la utilizaci\u00f3n de adjuntos con extensiones ISO, RAR y archivos LNK ha tenido un incremento de cerca el 175% en este mismo periodo de tiempo. Siendo los archivos LNK los que mayores riesgos est\u00e1n generando a los equipos dado su bajo peso en algunos casos y que permiten ejecutar c\u00f3digo de PowerShell en un par de l\u00edneas.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t<div class=\"elementor-column elementor-col-50 elementor-top-column elementor-element elementor-element-d133fae\" data-id=\"d133fae\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-b9ca60b elementor-widget elementor-widget-image\" data-id=\"b9ca60b\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/08\/archivos.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-cf279ec elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"cf279ec\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-0791277\" data-id=\"0791277\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-bc2028e elementor-widget elementor-widget-text-editor\" data-id=\"bc2028e\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Los ciberdelincuentes han pasado a utilizar este tipo de archivos ya que pueden comprimir y contener los archivos de Excel y Word sin que el sistema pueda detectar de donde provienen una vez son descomprimidos, y, por ende, no es posible que se aplique el control anteriormente descrito. Adicional a esto muchos atacantes est\u00e1n implementando el uso de contrase\u00f1as en estos archivos adjuntos, esto para que los motores de detecci\u00f3n no puedan inspeccionar el contenido de estos y en muchas ocasiones pueda ser entregado exitosamente el correo al buz\u00f3n de la v\u00edctima.<\/p>\n<p>Aunque no todo son malas noticias, la implementaci\u00f3n de este tipo de medidas ha hecho que los atacantes vean menos atractivo este vector de ataque, ya que es menos probable que un usuario ejecute un archivo que tenga que descomprimir y adicionalmente poner una contrase\u00f1a, por ende, se esperar\u00eda que en los pr\u00f3ximos a\u00f1os se d\u00e9 una reducci\u00f3n general d\u00e9 este tipo de ataques.<\/p>\n<h5>Recomendaciones:<\/h5>\n<p>Al igual que en los ataques de phishing de siempre la recomendaci\u00f3n principal es no abrir los adjuntos que puedan ir acompa\u00f1ados de este tipo de archivos, ni tampoco acceder a los links que estos puedan tener, ya que otra metodolog\u00eda utilizada com\u00fanmente es que estos archivos maliciosos est\u00e1n alojados en contendores de nube tales como Drive o OneDrive lo que hace muy complicado que un motor de an\u00e1lisis pueda detectar como malicioso porque este tipo de sitios son permitidos en muchas compa\u00f1\u00edas dado su uso corporativo. Finalmente, es de esperar que este fen\u00f3meno se pluralice en nuestro escenario colombiano en los meses siguientes teniendo en cuenta el escenario geopol\u00edtico y econ\u00f3mico que puede ocasionar que los delincuentes t\u00edpicos migren a las plataformas digitales al ser mucho m\u00e1s atractivas al p\u00fablico en general y se puedan aprovechar de la poca educaci\u00f3n digital que posee en este momento nuestro pa\u00eds.<\/p>\n<h5>Fuentes:<\/h5>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/as-microsoft-blocks-office-macros-hackers-find-new-attack-vectors\/\">https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/how-threat-actors-are-adapting-post-macro-world<\/a><\/li>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/as-microsoft-blocks-office-macros-hackers-find-new-attack-vectors\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/as-microsoft-blocks-office-macros-hackers-find-new-attack-<\/a><\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/as-microsoft-blocks-office-macros-hackers-find-new-attack-vectors\/\">vectors\/<\/a><\/p>\n<ul>\n<li><a href=\"https:\/\/outflank.nl\/blog\/2020\/03\/30\/mark-of-the-web-from-a-red-teams-perspective\/\">https:\/\/outflank.nl\/blog\/2020\/03\/30\/mark-of-the-web-from-a-red-teams-perspective\/<\/a><\/li>\n<\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-8413927 elementor-widget elementor-widget-image\" data-id=\"8413927\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/05\/Imagen2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-08f2bd5 elementor-widget elementor-widget-text-editor\" data-id=\"08f2bd5\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><a href=\"mailto:Info@etek.com\">Info@etek.com<\/a><\/p>\n<h5>Colombia\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0Per\u00fa\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 India<\/h5>\n<p>+57 (1) 2571520\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 +51\u00a0(1) 6124343\u00a0 \u00a0 \u00a0 \u00a0 \u00a0<span style=\"letter-spacing: 0px;\">+91-9873451221<\/span><\/p>\n<p>\u00a0<\/p>\n<h5>\u00a0<\/h5>\n<p>\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Escrito por: Francisco Alejandro Cifuentes Torres-Cyber SOC Expert Luego que Microsoft decidiera bloquear por defecto la ejecuci\u00f3n de macros en sus programas Excel y Word, los ciberdelincuentes han desarrollado nuevos m\u00e9todos para saltar la protecci\u00f3n implementada por la compa\u00f1\u00eda como el uso de archivos ISO y RAR para poder seguir infectando los equipos atacados con [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6079,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/6076"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=6076"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/6076\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=6076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=6076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=6076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}