Lectura oscura | Seguridad | Proteja el negocio



El uso de macros maliciosas para infectar sistemas Home windows creció significativamente en el último año, ya que los atacantes encontraron formas de eludir, o convencer a los usuarios de que hicieran clic, las advertencias destinadas a defender los sistemas.

El último approach para infectar sistemas informáticos utiliza un señuelo de la vieja escuela: un recibo. Con reminiscencias de las estafas de soporte técnico, la reciente Campaña BazarCall envía una variedad de facturas o recibos que esencialmente afirman que al objetivo se le cobrarán decenas o cientos de dólares por una suscripción o producto y que llame a un número determinado si los destinatarios quieren optar por no participar, dice Chester Wisniewski, científico investigador principal de anti- empresa de malware Sophos.

«Luego te conectas a un centro de llamadas de la India, donde una persona te dirige a un sitio web para descargar un documento de Word infectado con una macro y te explica cómo habilitar las macros», dice. «Y debido a ese elemento humano, sospecho que están obteniendo una mayor tasa de éxito».

Los documentos de Microsoft Workplace con macros maliciosas, a menudo llamados «maldocs», han resurgido como un vector para infectar sistemas, creciendo en la última mitad de 2020 para representar más de un tercio de los archivos adjuntos maliciosos y, en un momento de septiembre de 2020, representaron casi el 80% de los archivos adjuntos maliciosos, según datos de Sophos.

Las macros han tenido un largo historial de uso por parte de los atacantes, con muchos virus y gusanos tempranos, incluido el virus Melissa, que utilizan documentos de Place of work con macros maliciosas para propagarse. Tanto los documentos de Microsoft Word como las hojas de cálculo de Excel son igualmente populares entre los atacantes, y los servicios modernos contra el ciberdelito permiten a los atacantes crear fácilmente maldocs. Algunas macros incluso permiten ataques en MacOS.

Los viejos trucos también funcionan, como la contraseña codificada «VelvetSweatshop» que permite cifrar hojas de cálculo de Excel maliciosas para que puedan eludir muchos motores antivirus.

«A medida que las herramientas de protección de endpoints mejoran en la identificación de estos exploits más modernos, que generalmente involucran un script que se ha incrustado en el documento, los creadores de maldoc parecen haber investigado profundamente para encontrar un mistake muy, muy antiguo que ayuda a ocultar las macros u otros contenido de los documentos, «Sophos afirma en su último informe de amenazas.

La solución obvia es eliminar el contenido ejecutable en los documentos, una forma sencilla de reducir el área de superficie de ataque de un trabajador de oficina típico. Sin embargo, las macros todavía se utilizan ampliamente en muchos entornos empresariales, dice Wisniewski.

«Si me hubieran preguntado hace unos años [si necesitamos macros], habría dicho que no, pero luego lo dije públicamente, y al parecer, unas 10.000 personas me corrigieron rápidamente», dice. «Dado que no hago ningún &#39trabajo actual&#39, que es lo que me dijeron en ese momento las personas que usan macros, no necesito que mi Excel extraiga dinámicamente contenido de una base de datos SQL para actualizar mi hoja de cálculo con las últimas cifras de ventas «.

Muchos trabajadores lo hacen y muchas empresas confían en las macros, y específicamente en las macros de Microsoft Place of work.

Eso hace que intentar limitar el uso de macros sea poco práctico, dice Kilian Englert, gerente técnico de la firma de ciberseguridad Varonis.

«Sería genial si pudiéramos decir: &#39No hay macros, nunca&#39, pero prácticamente hablando, hay muchos casos de uso en los que deshabilitarlas por completo es difícil», dice. «Microsoft es agradable y te dan la advertencia allí, preguntándote si quieres hacer esto, así que todo se minimize a qué tan buena es la ingeniería social».

Las macros firmadas pueden ayudar, pero requieren un equipo de seguridad de TI más maduro, agrega.

La actualización de Workplace también ayudará a minimizar el área de superficie, pero mientras muchas empresas y usuarios de computadoras actualizan Microsoft Windows todos los meses el martes de parches, a menudo Business permanece sin parches durante períodos más prolongados.

En normal, la capacitación en concienciación sobre seguridad puede ser la mejor manera de fortalecer la fuerza laboral contra la ejecución de macros. Microsoft ya ha agregado advertencias de forma predeterminada a cualquier intento de ejecutar macros sin firmar, pero los usuarios aún pueden aceptar macros y ejecutarlas.

Desafortunadamente, los atacantes están mejorando en ingeniería social y están encontrando formas de convencer a los usuarios de eludir la seguridad para aumentar su tasa de éxito. La estafa de soporte técnico es el último intento de convertir a los usuarios crédulos en cabezas de playa en redes.

Sin embargo, el simple hecho de que permitir que el contenido ejecutable se acompañe de documentos comunes significa que los usuarios tendrán que estar de guardia y las empresas de seguridad tendrán que encontrar mejores soluciones, dice Englert de Varonis.

«Quizás podríamos ver un cambio en la industria o un cambio en el uso de la misma. Realmente podríamos exigir una alternativa», dice. «Los errores ocurren y no debemos culpar al usuario final. Es nuestro trabajo como profesionales de la seguridad brindarles las mejores defensas que podamos y luego tener las herramientas para defenderlos».



Enlace a la noticia primary