Libraesva, empresa especializada en seguridad de correo electrónico, eleva el nivel de alerta sobre una nueva tendencia de ciberataques que se activan en los PCs de los usuarios con la activación de las macros de Excel.
Libraesva, empresa especializada en seguridad de correo electrónico, eleva el nivel de alerta sobre una nueva tendencia de ataques informáticosque se inician en los PC de los usuarios con la activación de las macros de Excel. “No es nada nuevo ver funcionalidades del paquete Office utilizadas como vectores de acceso para los malintencionados, pero nuestros análisis recientes están encontrando una creciente tendencia de los hackers a insertar código malicioso en correspondencia específica de una de las másantiguas funcionalidades de Excel: la Macro-Formula, también conocida como Macro XLM. Preocupa también el hecho de que estecódigo malicioso no es interceptado por el 90% de los antivirus”, declaraRodolfo Saccani, R&D Security Managerde la empresa.
Excel es una herramienta del paquete Office conocida por todos, utilizada ampliamente en el ámbito privado y, sobre todo, empresarial, por ejemplo, para cálculos, proyecciones y presupuestos. Con el perfeccionamiento a lo largo del tiempo de las soluciones de Microsoft, se han mantenido válidas y, por lo tanto, todavía soportadas hoy en día algunas funcionalidades de las versiones iniciales, que ahora se están mostrando como objeto de interés por parte de los atacantes, quienes las utilizan comovectores de accesoa los sistemas informáticos de los usuarios y, por lo tanto, de propagación de campañas dañinas.
La funcionalidad Macro-Formula presente en todos los Excel se utiliza para vehicular un droppercapaz de albergar formas de malware de diversa naturaleza, troyanos bancarios, virus, etc., haciéndose así adaptable para realizar intenciones maliciosas siempre diferentes. Desde un punto de vista técnico,en el momento en que el usuario activa el aviso ‘ACTIVAR MACRO’, el código malicioso crea una fórmula recopilando datos de muchas celdas diferentes y realizando algunas transformaciones en la escritura del código de difícil identificación. Luego aplica la fórmula utilizando la declaración FORMULA.FILL.
Más que el tipo específico de malware, es el patrón de ataque lo que se investiga en Libraesva, asumiendo que nunca se debe permitir ningún tipo de ejecución para los documentos entregados por correo electrónico y bloqueando, por lo tanto, cualquier sospecha en la sandbox QuickSand para analizarlo.
Este fenómeno deataque a través de Excelcomenzó a presentarsea principios de Mayoy continúa manifestándose sin descanso desde entonces. “En EsvaLabs hemos notado un cambio en las modalidades de ataque entre abril y mayo: en el primer mes, de hecho, los hackers mostraban preferencia por insertar en los droppers código más fácilmente reconocible por los filtros antivirus. En este mes de mayo, los contenidos de estos ‘caballos de troia’ se presentan en cambio portadores de formas de ataque siempre nuevas y diversificadas” precisa el manager. Considerando el hecho de queel código malicioso es activado precisamente por el usuarioen el momento en que permite la activación de las Macros en Excel, es fácil comprender por qué incluso los filtros de seguridad más comunes no logran interceptar inmediatamente la amenaza potencial, permitiendo que los correos electrónicos que la contienen pasen y lleguen así a la bandeja de entrada del usuario final.
“Los correos electrónicos siguen siendo el vector privilegiado por los cibercriminales para minar la seguridad y la reputación de empresas, entidades de crédito y bancarias, y particulares. Son testimonio de ello las numerosas campañas que interceptamos a diario en EsvaLabs, y la última no menos importante es lacampaña de phishing masivoque ha afectado a los usuarios italianos en estos meses deconfinamiento por Covid-19, en la que este tema ha sido utilizado por los atacantes para inducir a los usuarios a abrir archivos adjuntos o enlaces en correos electrónicos aparentemente inofensivos, y como se puede imaginar de gran interés informativo, para lograr los fines de robo de credenciales y de datos personales”comenta Paolo Frizzi, CEO de Libraesva. «Es importante renovar una vez más la invitación a prestar la máxima atención a las comunicaciones que llegan por correo electrónico, a su forma y contenido, en particular a los archivos adjuntos aunque provengan de remitentes conocidos. Las evidencias muestran de hecho cómo, por desgracia, los primeros ‘socios’ de los atacantes somos nosotros mismos, usuarios individuales del correo electrónico, que con un simple clic – de activación en este caso de una Macro-Fórmula en Excel – activamos la bomba contra nuestros propios sistemas sin saberlo«.
Pubblicato in Guías y tutoriales
Sé el primero en comentar