Header Ads Widget

Los piratas informáticos están utilizando vectores alternativos como macros bloqueadas de Microsoft

 

piratas informáticos
Imagen vía PixaBay

Con Microsoft deshabilitando las macros de forma predeterminada, los piratas informáticos están cambiando a nuevos métodos alternativos para implementar el malware en la computadora de su objetivo, dicen los investigadores de Proofpoint.

Notaron que los piratas informáticos usaban tipos de archivos contenedores como ISO, RAR y Windows Shortcut (LNK) más que los archivos Docx y XLS normales, ya que ahora están obsoletos y no admiten macros. Sin embargo, los piratas informáticos tienen más problemas con los nuevos tipos de archivos, ya que necesitan el apoyo del objetivo para verse comprometidos.

Cambiar a archivos contenedores

Hasta ahora, un correo electrónico de phishing solía contener un archivo malicioso de Word o Excel de piratas informáticos que pedían a los objetivos que abrieran y habilitaran macros para hacerlo más visible. Pero la causa real es ejecutar su malware en segundo plano, ya que las macros tienen la capacidad de hacerlo.

Las macros VBA y XL4 son pequeños programas de Microsoft creados para automatizar tareas repetitivas en las aplicaciones de Office. Dado que los piratas informáticos abusan de estos, Microsoft decidió bloquearlos de forma predeterminada en todas las aplicaciones de oficina.

Aunque este cambio entró en vigencia la semana pasada, los piratas informáticos comenzaron a cambiar a otros medios mejores hace meses. Como señalaron los investigadores de Proofpoint , entre octubre de 2021 y junio de 2022, hubo una caída significativa en la distribución de la carga útil usando macros.

Al mismo tiempo, notaron que los piratas informáticos que usaban tipos de archivos contenedores como ISO, ZIP y RAR crecieron casi un 175 %. El uso de archivos LNK, especialmente, se disparó después de febrero de 2022 en un 1675 % en comparación con octubre de 2021, convirtiéndose en el arma principal elegida por diez grupos de amenazas individuales, dice Proofpoint.

Ya hemos visto algunas de las pandillas de botnets más grandes: QBot y Emotet que usan archivos LNK en sus campañas, ya que pueden ejecutar casi cualquier comando que el usuario tenga permiso para usar. Se prefieren para ejecutar scripts de PowerShell, que pueden descargar y ejecutar malware desde fuentes remotas.

Aunque es fácil para los piratas informáticos encontrar alternativas, no son efectivos como los archivos Docx o XLS normales, ya que los archivos contenedores requerirían que los objetivos hicieran un esfuerzo adicional para que funcionaran.

Publicar un comentario

0 Comentarios