Ciberdelincuentes cambian de estrategia ante el bloqueo de macros de Microsoft Office

31 julio, 2022

Los hackers que normalmente distribuían malware a través de archivos adjuntos de phishing con macros maliciosas cambiaron gradualmente de táctica después de que Microsoft Office comenzó a bloquearlas de forma predeterminada. Ahora están usando nuevos tipos de archivos como archivos adjuntos ISO, RAR y Windows Shortcut (LNK).

Las macros VBA y XL4 son pequeños programas creados para automatizar tareas repetitivas en las aplicaciones de Microsoft Office. No obstante, los ciberdelincuentes las usan para cargar, enviar o instalar malware a través de archivos adjuntos de documentos maliciosos de Microsoft Office enviados en correos electrónicos de phishing.

El motivo del cambio es que Microsoft anunció que terminaría con el abuso masivo del subsistema de Office al bloquear automáticamente las macros de forma predeterminada y dificultar su activación.

Aunque a Microsoft le tomó un poco más de tiempo implementar este cambio de Microsoft Office, el bloqueo finalmente entró en vigencia la semana pasada.

Sin embargo, el anuncio inicial por sí solo convenció a los operadores de malware de alejarse de las macros. Astutamente, comenzaron a experimentar con métodos alternativos para infectar a las víctimas.

Los actores de amenazas, demostrando su resistencia típica, hasta ahora no parecen intimidados por la medida. El cambio marca “uno de los cambios más grandes en el panorama de amenazas de correo electrónico en la historia reciente”.
Selena Larson y Daniel Blackford, expertos del equipo de investigación de amenazas de Proofpoint.

Los hackers abandonan las macros

En un nuevo informe de Proofpoint, los investigadores analizaron las estadísticas de campañas maliciosas entre octubre de 2021 y junio de 2022. Ellos identificaron un cambio claro hacia otros métodos de distribución de payloads, registrando una disminución del 66% en el uso de macros.

Al mismo tiempo, el uso de archivos contenedores como ISO, ZIP y RAR ha crecido de manera constante, con un aumento de casi un 175%.

**Comparación entre macros y archivos contenedores en campañas**

El uso de archivos LNK se disparó después de febrero de 2022, el momento del anuncio de Microsoft, aumentando un 1675% en comparación con octubre de 2021. Asimismo, es el arma elegida por diez grupos de amenazas individuales rastreados por Proofpoint.

**El uso malicioso de archivos LNK aumentó a niveles sin precedentes**

Anteriormente hemos informado sobre el uso de archivos LNK por parte de Emotet, Qbot e IcedID. El denominador común en todos los casos es que se hace pasar por un documento de Word para engañar al destinatario para que lo abra.

Sin embargo, estos archivos de enlace se pueden usar para ejecutar casi cualquier comando que el usuario tenga permiso para usar. Esto incluye la ejecución de scripts de PowerShell que descargan y ejecutan malware desde fuentes remotas.

Acceso directo de Windows que ejecuta el comando PowerShell para instalar Emotet

Finalmente, Proofpoint también observó un aumento significativo en el uso de archivos adjuntos HTML que adoptaron la técnica de contrabando de HTML para colocar un archivo malicioso en el sistema host. Sin embargo, sus volúmenes de distribución continúan siendo pequeños.

Cambiando la amenaza

Si bien ver que las macros se convierten en un método obsoleto de distribución de payloads y la infección inicial es un desarrollo positivo, la amenaza simplemente ha cambiado en lugar de abordarse o reducirse.

En otras palabras, el movimiento de Microsoft para bloquear las macros por completo hasta ahora no ha disuadido a los atacantes de usarlas por completo; ha estimulado este cambio notable hacia otras tácticas.

La clave de este cambio son las tácticas para eludir el método de Microsoft para bloquear las macros de VBA basadas en un atributo Mark of the Web (MOTW). MOTW muestra si un archivo proviene de Internet conocido como Zone.Identifier

“Las aplicaciones de Microsoft agregan esto a algunos documentos cuando se descargan de la web. Sin embargo, MOTW se puede omitir mediante el uso de formatos de archivo contenedor”.

De hecho, la empresa de seguridad informática Outflank detalló convenientemente múltiples opciones para que los hackers éticos que se especializan en la simulación de ataques, conocidos como “equipos rojos“, eludan los mecanismos MOTW. La publicación no parece haber pasado desapercibida para los ciberdelincuentes, ya que también han comenzado a implementar estas tácticas.

Efectividad de las nuevas tácticas

La pregunta que necesita respuestas ahora es cómo ese cambio afecta la efectividad de las campañas de malware. Esto porque convencer a los destinatarios para que abran archivos .docx y .xls es mucho más fácil que pedirles que descompriman archivos y abrieran archivos cuyos nombres terminan en .lnk.

Además, para eludir la detección por parte del software de seguridad, muchas campañas de phishing ahora protegen con contraseña los archivos adjuntos. Esto agrega otro paso engorroso que debe tomar un objetivo para acceder a los archivos maliciosos.

Desde esa perspectiva, los atacantes que confían en los correos electrónicos de phishing podrían quedarse sin buenas opciones. Y, como resultado, sus tasas de infección pueden haber disminuido.

Finalmente, las soluciones de seguridad de correo electrónico ahora tienen un espectro más reducido de riesgos potenciales para evaluar. Es decir, mejoran sus posibilidades de detectar un archivo peligroso.