Habitualmente se observan amenazas que, siendo ejecutables, pretenden hacerse pasar por documentos de texto. Se presentan con íconos alusivos o extensiones modificadas; no obstante, hay algunas amenazas que realmente son documentos de texto, y presentan comportamientos maliciosos. Comúnmente son conocidos como macro virus, y veremos cómo se comporta un malware de este tipo.

No son recientes, ya que de hecho amenazas antiguas como Melissa (cuyo creador ha estado en nuestro top 10 de condenados por delitos informáticos) pertenecen a esta familia, aunque aún pueden encontrarse in the wild. Antes de ver un ejemplo, es preciso entender las tecnologías involucradas; una de ellas son los macros.

Una macro es un conjunto de instrucciones comúnmente asociado a un documento. Es similar a un script, aunque su naturaleza se encuentra estrictamente ligada a un archivo de un programa específico, como por ejemplo a un documento de un procesador de textos. De esta forma, una macro podría encapsular comportamiento útil para dicho documento, como por ejemplo mostrar contenido dinámico. Ahora, ¿puede este comportamiento tener fines maliciosos? La respuesta es contundente: .

Veamos una muestra recibida en nuestro Laboratorio de Investigación de ESET Latinoamérica. Se trata de un documento de texto que aparenta contener fotos, pero al abrirse nos advierte que el contenido no está disponible por no tener activadas las macros:word2Curiosamente, se encuentran en el documento las instrucciones para activarlas. Si lo miramos en detalle, veremos que efectivamente tiene unas macros asociadas, como se evidencia en la captura siguiente:word3Observarlas en detalle nos permitirá entender el comportamiento malicioso de la amenaza. En este caso, veremos que si abrimos el documento y se ejecutan los macros se descargará una amenaza, y un falso mensaje de error simulará que el documento de texto no es compatible. Aquí vemos el código en detalle:

word5
Si bien en este caso se trata de unas falsas fotos, hay otros tipos de excusas, como por ejemplo la siguiente, que pretende ser un importante recibo bancario de una entidad financiera:

word6Recomendamos una vez más contar con una solución de seguridad para no ser víctima de inusuales amenazas como esta. A su vez, el criterio ocupará un lugar primordial: recibir un documento que nos haga desconfiar es suficiente como para analizarlo en más detalle. Ver las macros antes de ejecutarlas podría hacer que nos llevemos una sorpresa.