Las macros de Excel 4.0 siguen siendo efectivas para las infecciones de malware

Un ataque de ransomware reportado la semana pasada por Microsoft confirma que una vieja t茅cnica podr铆a estar resurgiendo. Los ataques parecen estar mejor dirigidos y se basan en macros malignas de Excel 4.0 para descargar el malware directamente en el sistema.

El malware de cifrado de archivos surgi贸 a principios de junio, como parte de una campa帽a masiva de spam que no se enfocaba en un tipo de usuario en particular. Sin embargo, seg煤n Microsoft Security Intelligence, la 煤ltima iniciativa del atacante se ha centrado en objetivos espec铆ficos, principalmente en Italia, enviando correos electr贸nicos con documentos con macros malignas de Excel 4.0.

Uno de estos correos electr贸nicos simula ser una notificaci贸n de la Inspecci贸n de Trabajo a una peque帽a empresa sobre “infracciones laborales detectadas durante un per铆odo de crisis”. El rengl贸n de asunto del mensaje es alarmante, informando al destinatario de las sanciones inminentes y las posibles acciones legales en su contra. El archivo adjunto consiste de un ZIP llamado “Notificaci贸n oficial”, con un documento que incluye una macro Excel 4.0 (XML), que sigue siendo compatible con los programas inform谩ticos modernos en los que se utiliza el c贸digo VBA.

Cuando se ejecuta, la macro descarga directamente el ransomware Avaddon, sin un descargador intermediario, comenta Microsoft. Esta tendencia se ha observado 煤ltimamente en otros programas maliciosos de cifrado de archivos.

Elegir macros de Excel 4.0 para propagar el malware puede parecer peculiar, sobre todo porque se introdujo en los productos de Microsoft Office hace 28 a帽os. Sin embargo, Avaddon y muchos otros actores malignos han empezado a utilizarlo recientemente.

“Aunque es una t茅cnica antigua, las macros malignas de Excel 4.0 empezaron a ganar popularidad en las campa帽as de malware en los 煤ltimos meses. La t茅cnica ha sido adoptada por numerosas campa帽as, incluyendo aquellas que utilizan se帽uelos tem谩ticos, como por ejemplo Covid-19”, escribe Microsoft Security Intelligence.

Microsoft ha observado un aumento en las campa帽as de correo electr贸nico malicioso con macros Excel 4.0 en los 煤ltimos meses. Desde abril, los atacantes comenzaron a usar el tema de Covid-19.




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.