Cómo protegerse contra el malware basado en macros

Protección contra el malware basado en macros

Microsoft lanzó Excel 4.0 para Windows 3.0 y 3.1 en 1992 y muchas empresas todavía usan esta funcionalidad en operaciones heredadas. El problema es que los actores maliciosos han comenzado a utilizar hojas de cálculo de Excel y macros como una nueva forma de propagar malware.

Tal Leibovich, jefe de investigación de amenazas en Deep Instinct, explicó en una presentación durante DEFCON 29 por qué este lenguaje de scripting heredado ha sido el vehículo de un reciente aumento en la propagación de malware. Leibovich presentó "Identificando cepas de macros de Excel 4.0 mediante detección de anomalías" junto a Elad Ciuraru la semana pasada. Deep Instinct es una empresa de ciberseguridad especializada en protección de puntos finales y utiliza el aprendizaje profundo para detener los ciberataques.

Las organizaciones de seguridad notaron por primera vez un aumento en este tipo de ataques en marzo de 2020. Microsoft lanzó una nueva defensa en tiempo de ejecución contra el malware de macros de Excel 4.0 en marzo. Leibovich dijo que ha visto un aumento sustancial en los últimos dos años de hackers que utilizan Macros de Excel 4.0 en los ataques.

"Uno esperaría que los ataques utilizando este antiguo lenguaje de scripts fueran muy limitados, pero estamos viendo nuevas técnicas de ofuscación", dijo.

La presentación de Leibovich formó parte de la AI Village en DEFCON 29. Varias de esas sesiones están disponibles en el canal de YouTube y el canal de Twitch del grupo.

Los hackers están utilizando tácticas creativas para construir nuevos vectores de ataque. Leibovich dijo que los hackers también están utilizando otros comandos de Excel y llamadas de API a Windows en los ataques.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"Puedes usar un comando corto en un lugar y otro aquí en la hoja de Excel y al saltar entre diferentes celdas puedes crear un ataque", dijo. "Esa es la forma en que muchos atacantes crean malware que no se detecta".

El problema es que esta capacidad legítima en Excel no siempre es maliciosa.

"Muchas organizaciones tienen archivos heredados que utilizan macros", dijo.

Dijo que el desafío consiste en crear un buen motor de detección que pueda detectar amenazas reales sin generar falsos positivos y ruido.

"La capacidad de abrir automáticamente archivos de Excel es fundamental y todo el mundo lo utiliza, por lo que debes detectar la funcionalidad específica de la macro para evitar generar falsas alarmas", dijo. "La principal herramienta que utilizamos para hacer eso es el aprendizaje profundo".

¿Cómo protegerse contra el malware basado en macros?

Es fácil entender por qué esta amenaza ha sido tan persistente a lo largo de los años. Los gusanos y virus de macros utilizan principalmente Visual Basic para aplicaciones en las macros de Microsoft y Microsoft Office es el conjunto de productividad predominante. La lógica básica es que Microsoft es dominante en este espacio y el uso de Visual Basic para aplicaciones es altamente y fácilmente blanco, y muchas organizaciones aún no abordan adecuadamente el problema de las macros, según Aaron Card, director de forenses digitales y respuesta a incidentes en NTT Ltd.

Cómo proteger tu computadora de los virus: métodos y consejos

La opción nuclear para protegerse contra este tipo de malware es bloquear cualquier archivo habilitado para macros y archivos incrustados en macros entrantes en el correo electrónico o las rutas de transferencia de archivos, dijo Card.

"Cualquier organización O365 también puede establecer una directiva de grupo para 'desactivar todas las macros', con o sin notificación al usuario en caso de que se haya producido un archivo de alguna manera, o se haya permitido ejecutar un archivo desde una unidad externa o un medio", dijo.

Además, la mayoría del software antivirus de punto final se puede configurar para bloquear macros.

"Si eres una organización que absolutamente necesita utilizar la funcionalidad de las macros para funcionar, entonces sugiero ejecutar toda la funcionalidad y los usuarios en entornos de escritorio virtual para limitar en gran medida cualquier propagación o daño causado por el malware de macros persistente", dijo.

Según Card, la educación del usuario sobre ciberseguridad es más una cuestión de apariencia que de impacto. En su experiencia, la educación del usuario solo funciona cuando se practica y se mide una y otra vez. La otra clave es establecer consecuencias reales cuando las personas infringen las reglas.

Card dijo que hay dos tácticas específicas que son efectivas para influir en el comportamiento del usuario. La primera implica agregar un lenguaje específico sobre el comportamiento responsable en ciberseguridad a las revisiones de rendimiento.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

"Por ejemplo, ¿tiene un miembro del equipo un bajo o ningún caso de hacer clic en correos electrónicos de phishing o utilizar un dispositivo inseguro para trabajar?", dijo. "Agregar un incentivo, como un bono cuando sea posible, también puede ayudar a mejorar la postura de seguridad de una empresa".

La otra táctica es asignar a cada líder una puntuación en base al número de errores de seguridad relacionados con el usuario que se hayan producido o no en su gestión.

"Esas puntuaciones se comparten internamente en una especie de tabla de líderes o tarjeta de puntuación, y este tipo de responsabilidad impulsa a las personas a hacerlo mejor", dijo.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo protegerse contra el malware basado en macros , tenemos lo ultimo en tecnología 2023.