En los primeros meses de 2014 el Laboratorio de Investigación de ESET Latinoamérica identificó la reaparición de un método de propagación de códigos maliciosos conocido con anterioridad, el macro malware. Se trata de una técnica común utilizada hace algunos años, a la cual nuevamente recurren las campañas de malware en distintas regiones del mundo, y en algunos casos con una tendencia creciente.
en 2016 las detecciones de macro malware en méxico casi se duplicaron respecto a 2015
Agregando nuevas características a su forma de operación, se han registrado oleadas que en su mayoría tienen como propósito robar información sensible de los usuarios.
A continuación revisamos algunos aspectos de la forma de operar del también llamado macro virus, medidas de prevención y datos sobre su crecimiento en México, que se ha visto afectado continuamente por esta amenaza en los últimos años.
Macromalware, sus características y funcionamiento
Las macros son una forma de automatizar tareas recurrentes en ofimática cada vez que un documento es abierto, especialmente en aplicaciones de Microsoft Office (como Word o Excel); la posibilidad de incluir instrucciones de Visual Basic dentro de un documento optimiza la ejecución de tareas repetitivas.
Sin embargo, esta funcionalidad también se utilizó con propósitos maliciosos hace algunos años, aunque la técnica reaparece en distintas campañas de malware constantemente. Debido a esta dualidad de objetivos en las macros, las versiones recientes de ofimática se encuentran configuradas de forma predeterminada para deshabilitar la ejecución de esta funcionalidad.
Generalmente, los archivos maliciosos son enviados como adjuntos en correos electrónicos no deseados, utilizando nombres y temáticas de interés diseñados para atraer a los usuarios. También se propagan a través de sitios que son utilizados para alojar las muestras de malware, por lo que el usuario debe acceder a un enlace para descargar el documento malicioso, como se muestra en la siguiente imagen:
Debido a que la ejecución automática de macros se encuentra deshabilitada, los autores de macro malware utilizan métodos que buscan convencer a los usuarios para activar las macros, de tal manera que el código malicioso pueda ejecutarse en el sistema de la potencial víctima. Esto lo logran al mostrar advertencias falsas e incluso brindando las instrucciones necesarias al abrir el documento malicioso, como en este caso:
De esta forma, si el usuario cae en el engaño se logra el propósito de la macro maliciosa, que generalmente consiste en descargar y ejecutar malware en el sistema de la víctima, pasando a una segunda etapa en el proceso de infección.
La imagen anterior muestra las funciones para la descarga y posterior ejecución de un segundo código malicioso que lleva a cabo la acción efectiva, tal como robar contraseñas u otra información confidencial, e incluso la instalación de ransomware.
Macromalware, una tendencia a la alza en México
El Laboratorio de Investigación de ESET ha identificado distintas campañas en Latinoamérica que se propagan mediante la técnica de las macros. México ha sido un país que se ha visto particularmente afectado, principalmente a partir de la suplantación de instituciones reconocidas para intentar engañar a los usuarios.
La familia identificada por las soluciones de seguridad de ESET como VBA/TrojanDownloader es del tipo downloader y presenta una tendencia creciente; el término se aplica para programas maliciosos, componentes o funcionalidades cuyo propósito (generalmente único) es descargar software malicioso adicional en un sistema infectado y ejecutarlo.
A partir del análisis del porcentaje del promedio móvil correspondiente a tres meses de detecciones de esta amenaza, se observa esta tendencia creciente. Recordemos que la media móvil es un indicador seguidor de una tendencia utilizada para suavizar las fluctuaciones, en nuestro caso, el porcentaje de detecciones.
Esta tendencia que reapareció en los primeros meses de 2014, a pesar de que presenta una ligera caída hacia finales de 2016, hoy en día se mantiene a la alza en la cantidad de detecciones, poniendo de manifiesto que se trata de una técnica vigente y en aumento.
A partir de las revisiones de los últimos 3 años, destaca que de 2014 a 2015, el porcentaje de detecciones de VBA/TrojanDownloader aumentó 83%, mientras que de 2015 a 2016 creció 99%. Esto significa que el año pasado las detecciones de macro malware en el territorio mexicano casi se duplicaron respecto al año previo.
¿Cómo mitigar una infección por macro malware?
Existen varias vías por las cuales es posible minimizar la probabilidad de infección por códigos maliciosos que utilizan macros para su propagación y posterior infección. Por ejemplo, desde comprobar que las macros se encuentren deshabilitadas en las aplicaciones de Microsoft Office y ofimática en general, y desactivarlas en caso de que no se encuentren así de forma predeterminada.
Por otro lado, la principal vía de propagación de este tipo de amenazas es a través del correo electrónico, por lo que una buena práctica consiste en hacer caso omiso a mensajes sospechosos en la bandeja de entrada, sobre todo si incluyen archivos adjuntos.
También resulta importante ignorar enlaces sospechosos o que redirigen a sitios desconocidos, sobre todo si descargan algún archivo. A tal fin, te resultarán de utilidad estas cinco preguntas a hacerte antes de hacer clic en un enlace.
Además, reiteramos verificar los remitentes de dichos correos, ya que es recomendable desconfiar de los mensajes intimidatorios o que suenan demasiado buenos para ser verdad. En la mayoría de los casos, cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad.
Por último y no menos importante, es esencial contar con una solución contra malware correctamente configurada y actualizada, así como emplear soluciones contra spam que permiten descartar el correo masivo e indeseado.