En enero de este año, tras una oleada de infecciones de Emotet (calificado entonces por muchos como «el malware más peligroso del mundo»), Microsoft anunció su decisión de deshabilitar de forma predeterminada las macros de Excel 4.0 (los ficheros XLM), dado que era esta funcionalidad, precisamente, la que los creadores de Emotet y muchos más tipos de malware habían elegido como puerta de acceso a los equipos infectados.
Pocas semanas después, la compañía anunció nuevas medidas para dificultar la difusión de malware en office 365: deshabilitar de forma predeterminada las macros en documentos descargados de la web, tanto de Excel como del resto de su software ofimático. La medida entró en vigor el pasado mes de abril.
Sin embargo, ya sabemos que los ciberdelincuentes pueden encontrar nuevas puertas tan rápido como se les cierra la anterior. Y en estos meses, según un reciente informe del equipo de seguridad de Cisco Talos Threat Source, parecen haber estado usando una nueva vía de acceso a nuestro Excel, y, con él, al resto de nuestro equipo.
Se trata de los archivos XLL, una versión de las DLL (bibliotecas de vínculos dinámicos) que sólo Excel es capaz de abrir y que, al igual que las viejas macros, se utilizan para agregar funcionalidades adicionales a las hojas de cálculo.
En realidad, estas bibliotecas vienen siendo usadas ya desde hace tiempo, pero sólo esporádicamente. Su uso, según Vanja Svajcer, investigadora de Talos,
«no aumenta significativamente hasta finales de 2021, cuando las familias de malware básico como Dridex y Formbook comenzaron a usarlo. Actualmente, un número relevante de distribuidores de APTs y de familias de malware de productos básicos están utilizando las XLL como vector de infección, y este número continúa creciendo».
-¿Qué son las macros y cómo se crean? ¿Y las XLL?
Una macro de Excel es una serie de acciones automatizadas y personalizadas que podemos ejecutar con el fin de realizar tareas recurrentes y, en ocasiones, complejas, con las hojas de cálculo. Utilizan un lenguaje de programación denominado Visual Basic para Aplicaciones (aunque no es necesario saber programar para crearlas, pues Excel cuenta con una ‘Grabadora de Macros’), que nos permiten acceder a prácticamente todas las funcionalidades del programa.
Desde Microsoft aconsejan que «si un archivo descargado de Internet quiere que habilites las macros, y no estás seguro de lo que hacen esas macros, probablemente deberías eliminar ese archivo».
Pero, ¿y las XLL? ¿Cómo se crean? «Los archivos de complemento XLL deben escribirse en C o C++», indica la documentación de Microsoft. «La administración de la memoria es de bajo nivel y, por lo tanto, el desarrollador carga con una mayor responsabilidad». Sin embargo, también existen frameworks para usar el entorno de lenguajes .NET en la creación de XLL. Concretamente Excel-DNA, gracias a su condición de software gratuito, se ha convertido en una referencia para los creadores de malware.