Conclusiones clave
- La decisión de Microsoft de bloquear macros privará a los actores de amenazas de este medio popular para distribuir malware.
- Sin embargo, los investigadores señalan que los ciberdelincuentes ya han cambiado de rumbo y han reducido significativamente el uso de macros en campañas de malware recientes.
- Bloquear macros es un paso en la dirección correcta, pero al final del día, las personas deben estar más atentas para evitar infectarse, sugieren los expertos.
Si bien Microsoft se tomó su tiempo para decidir bloquear las macros de forma predeterminada en Microsoft Office, los actores de amenazas se apresuraron a sortear esta limitación e idearon nuevos vectores de ataque.
Según una nueva investigación del proveedor de seguridad Proofpoint, las macros ya no son el medio favorito para distribuir malware. El uso de macros comunes disminuyó aproximadamente un 66 % entre octubre de 2021 y junio de 2022. Por otro lado, el uso de archivos ISO (una imagen de disco) registró un aumento de más del 150 %, mientras que el uso de LNK (Windows File Shortcut) los archivos aumentaron un asombroso 1, 675% en el mismo período de tiempo. Estos tipos de archivos pueden eludir las protecciones de bloqueo de macros de Microsoft.
"Los actores de amenazas que se alejan de la distribución directa de archivos adjuntos basados en macros en el correo electrónico representan un cambio significativo en el panorama de amenazas", dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, en un comunicado de prensa. "Los actores de amenazas ahora están adoptando nuevas tácticas para entregar malware, y se espera que continúe el mayor uso de archivos como ISO, LNK y RAR".
Moviéndose con los tiempos
En un intercambio de correo electrónico con Lifewire, Harman Singh, director del proveedor de servicios de ciberseguridad Cyphere, describió las macros como pequeños programas que se pueden usar para automatizar tareas en Microsoft Office, siendo las macros XL4 y VBA las macros más utilizadas por Usuarios de Office.
Desde la perspectiva del delito cibernético, Singh dijo que los actores de amenazas pueden usar macros para algunas campañas de ataques bastante desagradables. Por ejemplo, las macros pueden ejecutar líneas de código maliciosas en la computadora de una víctima con los mismos privilegios que la persona que inició sesión. Los actores de amenazas pueden abusar de este acceso para extraer datos de una computadora comprometida o incluso obtener contenido malicioso adicional de los servidores del malware para atraer malware aún más dañino.
Sin embargo, Singh se apresuró a agregar que Office no es la única forma de infectar los sistemas informáticos, sino que "es uno de los [objetivos] más populares debido al uso de documentos de Office por parte de casi todos en Internet."
Para dominar la amenaza, Microsoft comenzó a etiquetar algunos documentos de ubicaciones no confiables, como Internet, con el atributo Mark of the Web (MOTW), una cadena de código que designa activadores de funciones de seguridad.
En su investigación, Proofpoint afirma que la disminución en el uso de macros es una respuesta directa a la decisión de Microsoft de etiquetar el atributo MOTW en los archivos.
Singh no se sorprende. Explicó que los archivos comprimidos como los archivos ISO y RAR no dependen de Office y pueden ejecutar código malicioso por sí mismos. "Es obvio que cambiar las tácticas es parte de la estrategia de los ciberdelincuentes para asegurarse de que pongan su esfuerzo en el mejor método de ataque que tenga la mayor probabilidad de [infectar a las personas]".
Contiene malware
Incrustar malware en archivos comprimidos como archivos ISO y RAR también ayuda a evadir las técnicas de detección que se enfocan en analizar la estructura o el formato de los archivos, explicó Singh. "Por ejemplo, muchas detecciones de archivos ISO y RAR se basan en firmas de archivos, que se pueden eliminar fácilmente al comprimir un archivo ISO o RAR con otro método de compresión".
Según Proofpoint, al igual que las macros maliciosas anteriores, el medio más popular para transportar estos archivos cargados de malware es a través del correo electrónico.
La investigación de Proofpoint se basa en el seguimiento de las actividades de varios actores de amenazas notorios. Observó el uso de los nuevos mecanismos de acceso inicial que utilizan los grupos que distribuyen el malware Bumblebee y Emotet, así como varios otros ciberdelincuentes, para todo tipo de malware.
"Más de la mitad de los 15 actores de amenazas rastreados que usaron archivos ISO [entre octubre de 2021 y junio de 2022] comenzaron a usarlos en campañas después de enero de 2022", destacó Proofpoint.
Para reforzar su defensa contra estos cambios en las tácticas de los actores de amenazas, Singh sugiere que las personas tengan cuidado con los correos electrónicos no solicitados. También advierte a las personas que no hagan clic en enlaces ni abran archivos adjuntos a menos que estén seguros de que estos archivos son seguros.
"No confíes en ninguna fuente a menos que estés esperando un mensaje con un archivo adjunto", reiteró Singh. "Confíe, pero verifique, por ejemplo, llame al contacto antes de [abrir un archivo adjunto] para ver si realmente es un correo electrónico importante de su amigo o uno malicioso de sus cuentas comprometidas."
