Una vulnerabilidad de hace seis años lo convierte en arma para una estafa hacia el documento de Office

Mantener nuestro software lo más actualizado posible suele ser una buena idea, que evitar exponer nuestro sistema a malware capaz de aprovechar sus vulnerabilidades. Pero, en muchos casos, la desidia de los administradores / usuarios provoca que la instalación de las actualizaciones y parches de seguridad se demore durante meses. O incluso años.

Pero, por sonada que sea la vulnerabilidad, muchas veces nos encontramos con que los responsables de las actualizaciones no se preocupan: recuerdo el caso reciente de Log4J, en el que tras detectarse la peligrosa vulnerabilidad Log4Shell (y ser parcheada gracias a programadores que se quedaron muchas horas sin dormir), un año después entre 3 y 4 de cada 10 instalaciones sigue sin estar parcheada.

Y, sin embargo, ahora nos llegan noticias de que una nueva campaña de envío de documentos fraudulentos destinada a la difusión de malware se aprovecha de una vulnerabilidad de MS Office detectada a finales de 2017, hace casi 6 años. Como explican desde la firma de ciberseguridad ESET,

«tiempo más que suficiente para que todos los afectados hayan podido aplicar el parche correspondiente o cambiar a una versión de Office que no sea vulnerable».

-Así son los e-mails

Pero los cibercriminales saben que los equipos siguen siendo vulnerables, y se aprovechan de ello, enviando toda clase de documentos ofimáticos como ficheros adjuntos a e-mail… especialmente modificados para ejecutar malware que se aproveche de la falta de actualización de Office.

Así, por ejemplo, nos encontramos con e-mails que nos envían archivos de hojas de cálculo pensados para que, al abrirlos con MS Excel, el malware infecte nuestro equipo. El texto del e-mail (por ahora sólo detectado en inglés) nos anima a «comprobar las facturas adjuntas» tras haber «actualizado su estado de pagos».

Más interesante aún es la supuesta notificación que, en nombre de iCloud, nos da a conocer amablemente la noticia que hemos excedido la capacidad máxima de nuestra cuenta en la citada plataforma cloud de Apple.

En este caso, el documento adjunto es un fichero de texto para MS Word, que nos llega bajo el nombre de ‘order’ (encargo o pedido) y un número. Una vez que lo abrimos nos encontramos ante un confuso texto sobre marketing que nada tiene que ver con el tema del e-mail.

No importa que lo cerremos en ese preciso instante, nuestro equipo ya está infectado. Pero, ¿cómo? Si estamos tratando con documentos, y no con archivos ejecutables, ¿cómo se infecta nuestro sistema?

-El problema de las macros

Con las macros, por supuesto: fragmentos de código insertados en documentos de Office que permiten automatizar (ejecutar) tareas. Su utilidad para difundir malware sigue siendo tal que Microsoft tuvo que tomar medidas recientemente, forzando su bloqueo en las nuevas versiones de Office para todo fichero descargado de Internet.

Volviendo al caso concreto de la campaña de e-mails fraudulentos que comentábamos, ESET afirma lo siguiente:

«[Vulnerabilidades como la CVE-2017-11882] son una llave maestra que permite la ejecución de todo tipo de malware: si un atacante consigue explotar este agujero de seguridad en un sistema vulnerable, podrá descargar y ejecutar malware. [En estos e-mails] vemos como los delincuentes hacen peticiones GET a un servidor controlado por ellos donde alojan una muestra de malware».

En este caso hemos detectado el uso del RAT [troyano de acceso remoto] conocido como Agent Tesla […] lo que indicaría que los delincuentes andan detrás de las credenciales almacenadas en aplicaciones de uso cotidiano en empresas como navegadores de Internet, clientes de correo, clientes FTP o VPN, pero también otras de uso doméstico como aplicaciones de mensajería, sistemas de distribución de videojuegos o carteras de criptomonedas.

-Recomendaciones

  • Mantén actualizada tu aplicación anti-malware.
  • Mantén actualizado, en general, todo el software de tu equipo.
  • Intenta usar la previsualización de documentos en tu cliente de e-mail (si cuenta con esa función) antes de proceder a descargarlos a tu equipo y abrirlos. Así podrás descartarlos como ‘spam’ sin dar ocasión a que se active la macro.
  • Usa gestores de contraseñas para obstaculizar el robo de credenciales en tu equipo.