Microsoft Office: Distribuyen malware sin la necesidad de utilizar macros

---

En los últimos meses, la cantidad de ataque utilizando macros que poseían enlaces para la descarga de instaladores de amenazas informáticas se ha visto incrementada. Se trata de una forma sencilla de engañar al usuario sin levantar sospechas. Troyanos bancarios, ransomware, adware y así hasta completar el listado. Expertos en seguridad han descubierto que ciberdelincuentes utilizan Microsoft Office pero sin recurrir a macros.



Hasta este momento, los ciberdelincuentes debían engañar al usuario, haciéndole creer que era necesaria la activación de las macros para visualizar todo el contenido del archivo, apoyándose sobre todo en el contenido del correo electrónico, recurriendo en algunos casos a mensajes adicionales ubicados en el propio documento. En estos últimos se indicaba incluso cómo se podía llevar a cabo su activación.



Pero por suerte para estos y desgracia para los usuarios, han conseguido sacar partido de otra función, permitiendo que la utilización de las macros no sea necesaria. Estamos hablando de la función Microsoft Dynamic Data Exchange, también conocida DDE.



Para todos aquellos que no la conozcan, permite al usuario realizar la actualización de elementos de los documentos apoyándose en información contenida en otros. Por ejemplo, si tenemos una tabla en documento Word, podemos actualizarla con datos contenidos en una hoja de cálculos de Excel gracias a la función DDE.



No se trata de una función nueva. Sin ir más lejos, por parte de Microsoft se ha visto desplazada por OLE, pero aún se mantiene por motivos de compatibilidad. Con la llegada de este nuevo uso de aplican los ciberdelincuentes, no sería raro pensar que tenga fecha de caducidad.

Cómo utilizan los ciberdelincuentes DDE de Microsoft Office para distribuir malware

Después de sacar a la luz cuál es la función que están utilizando, vamos a ver cómo es el método del que se están valiendo para distribuir virus informáticos entre los usuarios.



De cara al usuario, la función utilizada no es nada más y nada menos que un campo de texto en el que se puede indicar el documento a utilizar, instrucciones sin tener que abrir una instancia de otra aplicación perteneciente a la suite de ofimática de Microsoft.



El resultado es que el usuario se encontrará con un mensaje que le indicará que el objeto referenciado contiene enlaces a contenido desconocido y que podría ser perjudicial para el equipo. Pero nada más lejos de la realidad, muy pocas veces se presta atención a este mensaje, de ahí que los ciberdelincuentes saquen tajada de la función.



Los ciberdelincuentes utilizan DDE para realizar la apertura de una línea de comandos, proceder con la descarga del instalador de la amenaza y su posterior ejecución. Obviamente, el usuario en ningún momento sería consciente de qué es lo que está sucediendo.

La presencia de una herramienta de seguridad resulta clave

Si bien la herramienta no bloqueará la ejecución de la línea de comandos, sí será capaz de detectar la instalación de la amenaza y detener su instalación. Por suerte para el usuario, las amenazas utilizadas no son actuales, y los software antivirus con la base de datos de virus correctamente actualizada debería ser capaz de realizar la detección sin ningún problema.



Un grupo de expertos en seguridad se ha puesto en contacto con Microsoft para informar del problema. Obviamente, desde la compañía han explicado que no nos encontramos ante un fallo de seguridad. Han querido definir esta función adicional que han encontrado los ciberdelincuentes como un vacío que no será solucionado en DDE. Tal y como hemos indicado anteriormente, es probable que en futuras versiones la función desaparezca.



https://www.redeszone.net/2017/10/13/microsoft-office-distribuyen-malware-sin-la-necesidad-utilizar-macros/