Al analizar los mecanismos de entrega utilizados por los agentes de amenazas durante agosto de 2018, Cofense Intelligence descubrió que las macros de Office de Microsoft representan casi la mitad de todas las cargas útiles de malware entregadas a los objetivos.
Como se explica en su análisis, los malos actores tienden a utilizar las macros de Microsoft Office como la primera etapa de las cadenas de infección y como la forma principal de entregar programas maliciosos en aproximadamente el 45% de los incidentes de seguridad.
Las macros de Office son una de las herramientas favoritas empleadas por los atacantes para entregar malware porque en la mayoría de las computadoras que ejecutan Microsoft Office la característica de macro de Office está habilitada de forma predeterminada, mientras que en las organizaciones que tienen políticas de seguridad más estrictas y la característica está deshabilitada, los usuarios finales un clic del mouse.
La forma casi imperceptible en que Microsoft Office alerta a los usuarios sobre una posible amenaza y el método trivial de eludir dichos avisos son la razón principal por la cual los atacantes usan las macros como parte de sus cadenas de infección
Las macros de Office se han usado para entregar cualquier cosa, desde robots insignificantes hasta cargas útiles de ransomware muy peligrosas
Las macros de Office se pueden transformar fácilmente en herramientas maliciosas con la ayuda de scripts de Visual Basic especialmente diseñados que permiten a los malos actores descargar o ejecutar cargas desde servidores remotos en la máquina de destino.
Aunque el uso de macros como archivos adjuntos de correo electrónico para infectar computadoras podría parecer algo que solo utilizarían grupos o actores de amenazas de bajo nivel, Cofense Intelligence descubrió que también se usaban para entregar complejos y muy peligrosos como Geodo, Chanitor, AZORult y GandCrab.
Según el informe de Cofense Intelligence, las macros de Office se han detectado distribuyendo desde bots simples hasta cargas útiles ransomware altamente peligrosas que podrían paralizar toda una red empresarial.
Como medidas de mitigación, el proveedor de la solución anti-phishing recomendó desactivar macros en un entorno empresarial, al incluir en una lista blanca las fuentes desde donde los empleados pueden recibir documentos de Office con macros o mediante un software antimalware capaz de detectar y bloquear componentes macro maliciosos.
Fecha actualización el 2021-09-19. Fecha publicación el 2018-09-19. Categoría: microsoft Autor: Oscar olg Mapa del sitio Fuente: softpedia