La entrega de malware a través de macros disminuye en un 66% según Proofpoint
Después de que Microsoft anunciara que bloquearía de forma predeterminada las macros de VBA y XL4 en las aplicaciones de Office para Windows a finales del año pasado, los atacantes comenzaron a utilizar archivos contenedor como adjuntos ISO y RAR, así como archivos de acceso directo de Windows (LNK) para entregar sus cargas maliciosas.
"Estamos viendo cambios en los comportamientos a lo largo de todo el panorama de amenazas, y, según mencionan nuestros investigadores en el informe, evaluamos con gran confianza que este es uno de los cambios más importantes en el panorama de amenazas por correo electrónico en la historia reciente", dijo Sherrod DeGrippo, vicepresidente de Investigación y Detección de Amenazas en Proofpoint. "Los actores de amenazas prestan atención a lo que funciona y a lo que no, y constantemente buscan formas de ser más efectivos en sus ataques".
Según el proveedor de seguridad Proofpoint, entre octubre de 2021 y junio de 2022, el uso de macros para distribuir cargas maliciosas disminuyó en un 66%.
Las macros de VBA son utilizadas por los actores de amenazas para ejecutar automáticamente contenido malicioso cuando un usuario ha activado las macros en las aplicaciones de Office. Las macros de XL4 son específicas de la aplicación Excel, pero también pueden ser utilizadas por los actores de amenazas. Estos utilizan tácticas de ingeniería social para convencer a los usuarios de activar las macros, que son necesarias para ver el contenido del archivo.
Burlando la Marca de la Web
Microsoft bloquea las macros de VBA en función de un atributo conocido como "Marca de la Web" (MOTW) que muestra si un archivo proviene de internet, una fuente restringida y, por lo tanto, si se puede confiar en él. El problema es que la MOTW se puede burlar utilizando formatos de archivo contenedor como ISO (.iso), RAR (.rar), ZIP (.zip) e IMG (.img) para enviar documentos habilitados para macros.
"Cuando se descargan, los archivos ISO, RAR, etc. tendrán el atributo MOTW porque se descargaron de internet, pero el documento que contiene, como una hoja de cálculo habilitada para macros, no lo tendrá", dijo Proofpoint en un comunicado de prensa. "Cuando se extrae el documento, el usuario aún tendrá que habilitar las macros para que el código malicioso se ejecute automáticamente, pero el sistema de archivos no identificará el documento como procedente de la web".
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLos atacantes también pueden utilizar archivos contenedor para distribuir cargas maliciosas directamente, según Proofpoint. Estos archivos contenedor pueden ocultar LNKs, DLLs o archivos ejecutables (.exe) que conducen a la instalación de una carga maliciosa al abrirlos. Además, los archivos XLL contenedor, un tipo de archivo de biblioteca de enlace dinámico (DLL) para Excel, también han experimentado un ligero aumento en su uso desde que Microsoft anunció que deshabilitaría las macros de XL4 en 2021.
Proofpoint también ha informado de un ligero aumento en el uso de archivos HTML adjuntos para distribuir malware. El número de campañas de malware que utilizan archivos HTML adjuntos se duplicó entre octubre de 2021 y junio de 2022, aunque el número total sigue siendo bajo.
"Aunque los tipos de archivos han cambiado, los actores de amenazas siguen utilizando la misma amplia gama de tácticas de ingeniería social para hacer que las personas abran y hagan clic", dijo DeGrippo. "La mejor defensa es un enfoque multidimensional en el que las personas estén en el centro de su estrategia de seguridad".
Cómo proteger tu computadora de los virus: métodos y consejosEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La entrega de malware a través de macros disminuye en un 66% según Proofpoint , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados