Blog

Malware: rehaciendo los clásicos

Malware: rehaciendo los clásicos

Como hemos dicho en historias anteriores, el delito informático es una de las industrias más lucrativas del mundo que hace uso de las técnicas más novedosas. Pero parece ser que también les encanta el reciclaje. Después de todo, ¿para qué desechar un viejo clásico si con un par de retoques todavía puede generar ingresos?

No siempre experimentan con ChatGPT para recrear cepas de malware, o llevar a cabo actividades fraudulentas.

Algunos reciclan el código de veteranas piezas de software malicioso para crear nuevas versiones.

Después, las utilizan para consumo propio, o las ponen a disposición de cualquiera que quiera comprarlas o alquilarlas.

Por lo tanto, cosas como el infame troyano polimórfico Emotet (descubierto por primera vez en 2014), continúan causando estragos.

Emotet se distribuye a través de archivos adjuntos en forma de documentos de Microsoft Word y Excel.

Cuando los usuarios abren estos documentos (con las macros de Office habilitadas), la DLL de Emotet se carga en la memoria.

Una vez que ha conseguido instalarse en el sistema, el malware permanece en silencio, esperando instrucciones de un servidor de comando y control operado por el villano.

El objetivo del perpetrador, suele ser el robo de datos, los ataques de ransomware, o una combinación de ambos.

Microsoft al rescate

Afortunadamente, en julio de 2022, Microsoft deshabilitó las macros de forma predeterminada en todos los documentos de Microsoft Office descargados de Internet.

Gracias a este cambio, los usuarios que intenten abrir un documento, recibirán un mensaje diciendo que las macros están deshabilitadas porque la fuente del archivo no es de confianza. 

macros deshabilitadas

Esto también afecta los archivos adjuntos procedentes de los correos electrónicos.

Por lo tanto, (a no ser que habilitemos las macros a conciencia, o por error) esta característica probablemente nos protegerá del infame Emotet.

Sin embargo, todavía hay usuarios y empresas que utilizan versiones de Office piratas o desactualizadas, que pueden seguir ejecutando macros de forma predeterminada.

Libre Office

Por su parte, la suite ofimática de código abierto LibreOffice ofrece tres opciones de seguridad para macros.

  1. Bajo.
  2. Medio.
  3. Alto.

Cada uno de ellos activa diferentes políticas de ejecución.

Por ejemplo, si se establece en bajo, todas las macros se ejecutarán incluso si no están firmadas.

El nivel de seguridad medio muestra un cuadro de diálogo que solicita al usuario que apruebe la ejecución de las macros.

Si se establece el nivel de seguridad en alto, solo permite ejecutar las macros de aquellos documentos provenientes de una ubicación de confianza.

Pero los villanos no se rinden

Los perpetradores más optimistas, pueden pedirle al usuario que, en vez de abrirlo con Excel, copie el documento malicioso en una ruta específica del sistema y lo vuelva a ejecutar.

Estaremos de acuerdo en que eso no tiene demasiado sentido, pero la ingeniería social a veces obra milagros.

Pero si bien Microsoft les ha cortado el rollo, y ha llevado a que los delincuentes se alejen de los documentos de Word y Excel, nada les impide explotar otro tipo de formatos, como imágenes ISO, archivos .JS, o el bloc de notas digitales OneNote.

En cualquier caso, pese a haber sido desmantelada por Europol en 2021, Emotet es una amenaza que sigue muy viva, por lo que no debemos bajar la guardia.

Para evitar infectarnos, hemos de tener especial cuidado con los correos electrónicos de remitentes desconocidos o cuyo «Asunto» es sospechoso.

Estos tipos de correos a menudo se combinan con técnicas de ingeniería social diseñadas para que los destinatarios hagan clic en un enlace, o descarguen un archivo adjunto que contiene malware.

Los usuarios también debemos asegurarnos de que las macros de Office se encuentran deshabilitadas, y evitar habilitarlas incluso cuando se nos solicite.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

Evita a los estafadores al buscar trabajo en LinkedIn
En qué consiste la minería maliciosa de criptomonedas
Correos electrónicos de phishing con archivos adjuntos en formato HTML
Hackear cuentas de Facebook con un clic
Roban cuentas de WhatsApp usando el truco del desvío de llamadas
Qué es el bloatware y cómo puedes eliminarlo