Microsoft Word, Excel, PowerPoint y otros formatos de documentos Office son populares entre los atacantes, que abusan de ellos para infectar a sus víctimas con ransomware, infostealers, backdoors y otro malware.
- El atacante envía un enlace para descargar un documento de Office a la víctima por correo electrónico, redes sociales, SMS, aplicaciones de almacenamiento en la nube o aplicaciones de mensajería.
- El atacante utiliza la ingeniería social para convencer a la víctima de que descargue el archivo, lo abra con Microsoft Office y habilite el contenido.
- Si la víctima habilita el contenido, el código malicioso del documento de Office infecta su ordenador
En este artículo, analizamos la anatomía de un ataque reciente desde un documento Office desde la perspectiva de la víctima, destacamos los tipos más comunes de ataques a documentos Office que se ven hoy en día y sugerimos estrategias para reducir el riesgo de convertirse en la última víctima.
Anatomía de un ataque a documentos de Office
A principios de 2022, Netskope observó una serie de ataques a documentos Office que utilizaban archivos de PowerPoint maliciosos para distribuir los troyanos de acceso remoto AveMaria/Warzone y AgentTesla. Las víctimas recibían un correo electrónico con un mensaje genérico en el que se les pedía que revisaran un pedido. Los atacantes suelen utilizar facturas falsas, formularios de pedido, listas de inventario, notificaciones de envío y presupuestos de venta para incitar a las víctimas a descargar documentos Office maliciosos. Cuando la víctima descarga y abre el archivo adjunto utilizando Microsoft PowerPoint, se le presenta un cuadro de diálogo que le pregunta si desea activar las macros.
Este es un momento crucial para la víctima. Si hace clic en "Desactivar macros", no ocurrirá nada. Verán una página en blanco. ¿Quizás este vacío les inspire a intentarlo de nuevo y hacer clic en "Activar macros"? i hacen clic en "Activar macros", el código malicioso embebido en el documento se ejecutará automáticamente y su ordenador se infectará con un troyano de acceso remoto en cuestión de segundos, lo que significa que el atacante podrá acceder al ordenador de la víctima.
Otro ataque similar utiliza Excel en lugar de PowerPoint, pero con un flujo idéntico. A continuación, se muestra otro ejemplo de enero de un ataque a un documento Office con Emotet. El atacante utiliza el cuerpo del propio documento para hacer algo de ingeniería social, diciéndole al usuario que debe abrir el documento en su ordenador y debe hacer clic en "Habilitar contenido". Si no lo hacen, no podrán abrir el documento. Ambos son pasos necesarios para que el atacante infecte el ordenador de la víctima, y por eso insiste tanto.
En respuesta a la prevalencia de los atacantes que utilizan esta táctica para propagar el malware, Microsoft decidió bloquear las macros VBA por defecto para los archivos descargados de Internet.
Tipos de archivos maliciosos
En los ejemplos anteriores, destacamos un ataque con un documento Office que utilizaba un archivo malicioso de PowerPoint para infectar a las víctimas con troyanos de acceso remoto. En general, casi una cuarta parte de todos los documentos Office maliciosos observados hasta ahora en 2022 eran archivos de PowerPoint. Los archivos de Excel son comparativamente más populares entre los atacantes, representando más de la mitad de todos los documentos Office maliciosos observados. Los ejemplos anteriores dan alguna pista de por qué: El formato de archivo Excel permite a los atacantes mostrar cierto contenido con fines de ingeniería social, para convencer a la víctima de que "habilite el contenido." Además, Excel admite características adicionales de las que suelen abusar los atacantes, como las macros de Excel 4.0.