En cuestión de incidentes de seguridad, los códigos maliciosos continúan prevaleciendo como la principal en las empresas latinoamericanas. Y es que el 81% de las organizaciones ha sufrido algún ataque de malware, es decir, prácticamente una de cada dos empresas en Latinoamérica admite haber sido víctima de un ataque de este tipo. Esto, evidentemente se relaciona de manera directa con las muy variadas campañas de malware que son identificadas de manera recurrente.
A principios de 2014, el Laboratorio de Investigación de ESET Latinoamérica detectó la reaparición de un método de propagación de códigos maliciosos conocido como macro malware, una técnica utilizada hace algunos años, a la cual nuevamente recurren las campañas de propagación de malware. Desde esa fecha, miles de ataques han sido registrados y a cada uno se le han detectado características nuevas, diferentes, en su forma de operación y en la manera en cómo atacan. La gran mayoría de ellos tiene como único propósito el robo de información sensible de los usuarios; esta por supuesto se refiere a cuentas bancarias, teléfonos, acceso a redes sociales, email, etc. Sin embargo, esta técnica es utilizada también en la infección de sistemas con diferentes tipos de malware, por ejemplo, el “ransomware”. En esta entrada revisaremos algunas formas de operar de este también llamado “macro virus”, así como algunas medidas de prevención de ataques del mismo y su crecimiento en nuestro País.
Las macros son una funcionalidad de ofimática para la automatización de tareas recurrentes cada vez que un documento es abierto, a través de la ejecución de instrucciones programadas en Visual Basic. Esta funcionalidad aparece especialmente en aplicaciones de Microsoft Office (como Word o Excel); la posibilidad de incluir las instrucciones dentro de un documento optimiza la ejecución de operaciones repetitivas.
Te recomendamos: Ataques de malware pueden costar hasta 2.5mdd a empresas
Ahora bien, algunas de estas, implican riesgos en la seguridad, pues esta característica es presa fácil para la propagación del malware. Es por esto que las versiones de ofimática tienen una configuración predeterminada que deshabilita la ejecución de las macros. Actualmente, esta es una técnica que ha resurgido en variadas operaciones para difundir malware.
Por lo general, las campañas de propagación de malware mediante el uso de macros se llevan a cabo a través del envío del ya conocido spam, uno de los métodos para esparcir software malicioso más utilizado de la actualidad junto con la explotación de vulnerabilidades. En otros casos, la propagación se realiza a través de sitios que malamente son utilizados para alojar las muestras de malware y que, a su vez, también los convierte en víctimas de estos ataques. Para ello, nuevamente se hace uso del correo electrónico para compartir enlaces con contenido malicioso a los cuales el usuario debe acceder para descargar los documentos en cuestión. Cabe destacar que algunas maniobras ya identificadas, emplean la imagen de instituciones reconocidas en México, con el propósito de persuadir y lograr la descarga de los archivos apócrifos.
Ahora, ya que la ejecución automática de macros se encuentra deshabilitada por defecto, los autores de macro malware utilizan métodos que buscan convencer a los usuarios para activarlas, de tal manera que el código malicioso pueda ejecutarse en el sistema de la potencial víctima. Esto lo logran al mostrar advertencias falsas e incluso brindando las instrucciones necesarias para la habilitación y posterior apertura del documento malicioso. De esta forma, si el usuario cae en el engaño, se logra el propósito de este macro virus, que generalmente consiste en descargar y ejecutar malware en el sistema de la víctima, pasando a una segunda etapa en el proceso de infección. En otras palabras, este método se usa para la descarga y posterior ejecución de un segundo código malicioso, el cual puede variar en función de la campaña de propagación, aunque estas operaciones suelen esparcir una amenaza que, una vez que ha infectado un sistema, tiene como principal objetivo el robo de información sensible de distintos servicios de Internet.
México no ha quedado exento de estos ataques y nuestro país se ha visto particularmente afectado, principalmente a partir de la suplantación de instituciones reconocidas para intentar engañar a los usuarios. Una amenaza de troyanos que se detectó en los primeros meses de 2014, presenta una ligera caída en los primero meses de 2017; sin embargo, alcanzó el mayor número de detecciones hacia finales de 2016, por lo que se mantiene vigente, poniendo de manifiesto que se trata de una técnica de difusión de malware continuamente utilizada.
Existen varias vías por las cuales podemos reducir la probabilidad de que nuestros equipos sean infectados por códigos maliciosos que utilizan macros para su propagación. Desde comprobar que las macros se encuentren deshabilitadas en las aplicaciones de Microsoft Office y ofimática en general y especialmente no habilitarlas cuando un documento lo solicita, tal como se realiza con las acciones maliciosas.
Te recomendamos: Inteligencia artificial en la detección de ciberataques
Por otro lado, recordemos que la principal vía de dispersión de este tipo de amenazas es a través del correo electrónico, por lo que una práctica recomendable es hacer caso omiso a mensajes que consideremos sospechosos en nuestra bandeja de entrada, sobre todo si incluyen archivos adjuntos. También es importante que ignoremos enlaces sospechosos o que redirigen a sitios que nos son desconocidos, sobre todo si sugieren la descarga de algún archivo.
Para evitar problemas por estas amenazas, es primordial contar con una solución como Cisco Stealthwatch, que no solamente localiza rápidamente cualquier malware desde el día cero, sino que también identifica amenazas de manera anticipada. Además, aporta la visibilidad y la detección de estas amenazas en la nube pública, sin la necesidad de agentes de software.