Ni el paquete Office se salva de los ciberdelincuentes. Y es que, se acaba de identificar una sofisticada campaña de ‘phishing’ que emplea documentos de Microsoft Word intencionalmente corruptos para eludir las medidas de seguridad y engañar a los usuarios, con el objetivo de obtener sus credenciales.
Se trata de una estrategia que aprovecha la función de recuperación de archivos de Word para pasar desapercibida ante los sistemas de detección de amenazas.
Cómo funciona el ataque
Los ciberdelincuentes envían correos electrónicos que aparentan proceder de departamentos de recursos humanos o nóminas, ofreciendo información sobre beneficios o bonificaciones para atraer a las víctimas a abrir los archivos adjuntos.
Estos archivos, con nombres como «Annual_Benefits_&Bonus_for[nombre].docx» o «Q4_Benefits_&Bonus_for[nombre].docx.bin», están diseñados para parecer totalmente legítimos.
Al intentar abrir estos documentos, Microsoft Word detecta que están dañados y activa su modo de recuperación, solicitando al usuario confirmar si desea recuperar el contenido. Si el usuario acepta, el documento reconstruido presenta instrucciones que incluyen un código QR que, al ser escaneado, redirige a una página de inicio de sesión falsa de Microsoft. Al ingresar sus credenciales en esta página, la información es enviada directamente a los atacantes.
Evasión de sistemas de seguridad
La innovación de esta campaña radica en la corrupción deliberada de los archivos de Word, lo que dificulta su análisis por parte de las soluciones de seguridad.
Según los investigadores de Any.Run, estos archivos operan correctamente dentro del sistema operativo, pero las herramientas de seguridad no pueden analizarlos adecuadamente debido a su estado corrupto. Como resultado, muchos antivirus clasifican estos documentos como «limpios» o no detectan ninguna amenaza.
«Las soluciones de seguridad intentan extraer su contenido asumiendo que necesitan escanear los archivos dentro, y pasan por alto el archivo en sí. Como el sistema de extracción [de contenido malicioso] no encuentra ningún fichero dentro del documento, se niega a guardarlo. Como resultado el proceso de escaneo nunca comienza», han matizado los inestigadores en su perfil de X.
Este método de ataque explota la diferencia entre cómo el sistema operativo maneja archivos dañados y cómo lo hacen las herramientas de seguridad, permitiendo que los correos maliciosos lleguen a las bandejas de entrada de las víctimas sin ser detectados.
Entonces, ¿cómo protegerse?
Para mitigar el riesgo de ser víctima de este tipo de ataques, son fundamentales cuatro puntos clave.
- Cautela con correos electrónicos inesperados. Evitar abrir archivos adjuntos de correos no solicitados, especialmente si provienen de remitentes desconocidos o contienen ofertas inesperadas.
- Verificación de la autenticidad. Confirmar la legitimidad de los correos electrónicos con el remitente antes de abrir cualquier archivo adjunto.
- Uso de entornos seguros. Analizar archivos sospechosos en entornos aislados o utilizar herramientas avanzadas de detección.
- Educación y concienciación. Capacitar a los empleados sobre las tácticas de ‘phishing’ y fomentar una cultura de seguridad informática.
La creciente sofisticación de las campañas de ‘phishing’ no hace otra cosa que poner en el centro del asunto la importancia de mantenerse alerta y adoptar prácticas de seguridad proactivas para proteger la información sensible.
En este caso en concreto, los especialistas han concluido tras sus investigaciones, que este ataque malicioso lleva operando durante varios meses, con los primeros incidentes registrados desde agosto pasado.
No es ni mucho menos el incidente para Microsoft 365. Tal y como ya informamos desde Bitlifemedia, el lunes 26 de agosto de 2024, miles de administradores de sistemas y profesionales de TI se encontraron con una situación imprevista: un aumento masivo de falsos positivos en las alertas de detección de malware de Microsoft 365.
Este error en el sistema impactó principalmente en la categorización de correos electrónicos, haciendo que numerosos mensajes legítimos fueran erróneamente marcados como amenazas y enviados a cuarentena. Como resultado, se generó un desorden temporal en las bandejas de entrada de los administradores.
