REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Macro malware, campañas de propagación vigentes en México

Los códigos maliciosos continúan siendo la principal causa de incidentes de seguridad en las empresas latinoamericanas. De acuerdo con el ESET Security Report 2017, 49% de los participantes en este estudio, afirmó haber padecido un incidente de seguridad relacionado con malware; esto significa que prácticamente una de cada dos empresas en Latinoamérica presentó un caso de infección por software malicioso. Esto se relaciona directamente con las distintas campañas de malware que son identificadas de manera recurrente.

A principios de 2014, el Laboratorio de Investigación de ESET Latinoamérica detectó la reaparición de un método de propagación de códigos maliciosos conocido como macro malware. Se trata de una técnica utilizada hace algunos años, a la cual nuevamente recurren las campañas de propagación de malware.

Se han registrado oleadas de ataques, agregando nuevas características a su forma de operación, que en su mayoría tienen como propósito robar información sensible de los usuarios, aunque esta técnica también es utilizada para infectar los sistemas con diferentes tipos de malware, tal es el caso del ransomware. En este artículo se revisan algunos aspectos de la forma de operar del también llamado macro virus, además se incluyen medidas de prevención y estadísticas sobre su crecimiento en México.

Características y funcionamiento del macro malware

Las macros son una funcionalidad de ofimática para la automatización de tareas recurrentes cada vez que un documento es abierto, a través de la ejecución de instrucciones programadas en Visual Basic. Esta funcionalidad aparece especialmente en aplicaciones de Microsoft Office (como Word o Excel); la posibilidad de incluir las instrucciones dentro de un documento optimiza la ejecución de operaciones repetitivas.

Sin embargo, algunas macros implican riesgos de seguridad, ya que esta característica puede ser utilizada con propósitos maliciosos, por ejemplo, para propagar malware. Por esta razón, las versiones de ofimática se encuentran configuradas de forma predeterminada para deshabilitar la ejecución de las macros. Recientemente, esta técnica ha reaparecido en distintas operaciones para difundir código malicioso.

Figura 1. Macros deshabilitadas por defecto en Microsoft Office

 

Las campañas de propagación de malware mediante el uso de macros, generalmente se llevan a cabo a través del envío de spam, uno de los métodos para esparcir software malicioso más utilizado de la actualidad junto con la explotación de vulnerabilidades. Los archivos identificados por las soluciones de ESET como VBA/TrojanDownloader son enviados como adjuntos en correos electrónicos masivos y no deseados, utilizando temáticas de interés y mensajes intimidatorios para intentar engañar a los usuarios.

En otros casos, la difusión se realiza a través de sitios que son utilizados para alojar las muestras de malware. Para ello, nuevamente se hace uso del correo electrónico para compartir enlaces maliciosos a los cuales debe acceder el usuario para descargar los documentos en cuestión. Cabe destacar que las maniobras identificadas emplean la imagen de instituciones reconocidas en México, con el propósito de persuadir y lograr la descarga de los archivos apócrifos. De manera recurrente, una institución afectada ha sido el Servicio de Administración Tributaria (SAT), tal como se muestra en la siguiente imagen.

Figura 2. Correo electrónico apócrifo usurpando una institución mexicana

 

Debido a que la ejecución automática de macros se encuentra deshabilitada por defecto, los autores de macro malware utilizan métodos que buscan convencer a los usuarios para activar las macros, de tal manera que el código malicioso pueda ejecutarse en el sistema de la potencial víctima. Esto lo logran al mostrar advertencias falsas e incluso brindando las instrucciones necesarias para la habilitación y posterior apertura del documento malicioso.

Figura 3. Documento con instrucciones para la ejecución efectiva de la macro maliciosa

 

De esta forma, si el usuario cae en el engaño se logra el propósito de la macro maliciosa, que generalmente consiste en descargar y ejecutar malware en el sistema de la víctima, pasando a una segunda etapa en el proceso de infección. En otras palabras, este método es utilizado para la descarga y posterior ejecución de un segundo código malicioso; para ello, se incluyen principalmente las funciones URLDownloadToFile y ShellExecute.

Figura 4. Instrucciones maliciosas incluidas en una macro

 

El segundo código malicioso en cuestión puede variar en función de la campaña de propagación, aunque estas operaciones suelen esparcir una amenaza identificada por las soluciones de seguridad de ESET como Neurevt, un troyano detectado desde principios del 2013. Una vez que ha infectado un sistema, el troyano también conocido como Betabot tiene como principal objetivo el robo de información sensible de distintos servicios de Internet.

De acuerdo con el mapa de calor generado a través del sistema Virus Radar, durante el último mes el mayor porcentaje de detecciones de Neurevt se registró en México. Esto debido principalmente a la constante actividad que presenta en el territorio mexicano y las continuas campañas que son lanzadas en busca de infectar la mayor cantidad posible de sistemas y afectar al mayor número posible de usuarios.

Figura 5. Porcentaje de detecciones de Neurevt en el mundo

 

Algunas campañas recientes han modificado sus métodos de dispersión. Por ejemplo, al utilizar servicios de transferencia de archivos para el envío de los documentos, se incluyen archivos de Excel con macros y métodos de ofuscación dentro de las instrucciones de las macros para ocultar las direcciones de Internet desde donde son descargados otros códigos maliciosos.

Figura 6. Nuevas características en las campañas de propagación de malware en México

El uso fraudulento del nombre e imagen de las instituciones ha sido identificado en la proliferación de estas acciones, por lo que se han emitido comunicados a los usuarios, haciendo hincapié en el hecho de que las organizaciones legítimas no distribuyen software, no solicitan ejecutar o guardar archivos, y tampoco requieren información personal, claves o contraseñas a través de los servicios de correo electrónico.

Propagación de macro malware vigente en México

El Laboratorio de Investigación de ESET ha identificado distintas campañas en Latinoamérica que se propagan mediante la técnica de las macros. México ha sido un país que se ha visto particularmente afectado, principalmente a partir de la suplantación de instituciones reconocidas para intentar engañar a los usuarios.

La familia VBA/TrojanDownloader presenta una tendencia a la alza; el término downloader se aplica a programas maliciosos, componentes o funcionalidades cuyo propósito (generalmente único) es descargar y ejecutar software malicioso adicional e infectar un sistema.

A partir del análisis del promedio móvil de detecciones para periodos de tres meses, se observa esta tendencia creciente. Recordemos que la media móvil es un indicador que tiene como propósito mostrar a una tendencia y es utilizada para suavizar las fluctuaciones en los valores registrados, en este caso, el porcentaje de detecciones en el territorio mexicano.

Esta amenaza que se detectó en los primeros meses de 2014, presenta una ligera caída en los primero meses de 2017, sin embargo alcanzó el mayor número de detecciones hacia finales de 2016, por lo que se mantiene vigente, poniendo de manifiesto que se trata de una técnica de difusión de malware continuamente utilizada.

 

Figura 7. Tendencia a la alza del porcentaje de detecciones de macro malware en México

A partir de las revisiones de los últimos 3 años, destaca que el porcentaje de detecciones de VBA/TrojanDownloader aumentó 83% en 2015 con relación al 2014. Otro dato relevante muestra que durante 2016 dicho porcentaje creció 99% respecto a 2015. Esto significa que el año pasado la detección de macro malware en el territorio mexicano, prácticamente se duplicó respecto al 2015.

¿Cómo mitigar una infección por macro malware?

Existen varias vías por las cuales es posible minimizar la probabilidad de infección por códigos maliciosos que utilizan macros para su proliferación. Desde comprobar que las macros se encuentren deshabilitadas en las aplicaciones de Microsoft Office y ofimática en general, y desactivarlas en caso de que no se encuentren así de forma predeterminada; especialmente no habilitarlas cuando un documento lo solicita, tal como se realiza con las acciones maliciosas.

Por otro lado, la principal vía de dispersión de este tipo de amenazas es a través del correo electrónico, por lo que una buena práctica consiste en hacer caso omiso a mensajes sospechosos en la bandeja de entrada, sobre todo si incluyen archivos adjuntos. También resulta importante ignorar enlaces sospechosos o que redirigen a sitios desconocidos, sobre todo si sugieren la descarga de algún archivo, así como evitar descargar documentos que son compartidos desde sitios transferencia de archivos.

Además, reiteramos verificar los remitentes de dichos correos, ya que es recomendable desconfiar de los mensajes intimidatorios o que suenan demasiado buenos para ser verdad. En la mayoría de los casos, cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad. Por último y no menos importante, en la actualidad resulta necesario contar con una solución contra malware correctamente configurada y actualizada, así como emplear soluciones contra spam que permiten descartar el correo masivo e indeseado.

Conocer las características y métodos de propagación de amenazas es el primer paso para evitarlas en la medida de lo posible y en caso de que no esto no suceda, que las consecuencias sean las mínimas aceptables. En conjunto, el uso de la tecnología de seguridad, las buenas prácticas y la concientización en temas de seguridad, nos permite disfrutar de la tecnología en un ambiente cada vez más seguro.

Referencias

Laboratorio de Investigación de ESET Latinoamérica.

ESET Security Report 2017

 

 

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.