Las macros de Excel 4.0 siguen siendo efectivas para las infecciones de malware

Un ataque de ransomware reportado la semana pasada por Microsoft confirma que una vieja técnica podría estar resurgiendo. Los ataques parecen estar mejor dirigidos y se basan en macros malignas de Excel 4.0 para descargar el malware directamente en el sistema.

El malware de cifrado de archivos surgió a principios de junio, como parte de una campaña masiva de spam que no se enfocaba en un tipo de usuario en particular. Sin embargo, según Microsoft Security Intelligence, la última iniciativa del atacante se ha centrado en objetivos específicos, principalmente en Italia, enviando correos electrónicos con documentos con macros malignas de Excel 4.0.

Uno de estos correos electrónicos simula ser una notificación de la Inspección de Trabajo a una pequeña empresa sobre “infracciones laborales detectadas durante un período de crisis”. El renglón de asunto del mensaje es alarmante, informando al destinatario de las sanciones inminentes y las posibles acciones legales en su contra. El archivo adjunto consiste de un ZIP llamado “Notificación oficial”, con un documento que incluye una macro Excel 4.0 (XML), que sigue siendo compatible con los programas informáticos modernos en los que se utiliza el código VBA.

Cuando se ejecuta, la macro descarga directamente el ransomware Avaddon, sin un descargador intermediario, comenta Microsoft. Esta tendencia se ha observado últimamente en otros programas maliciosos de cifrado de archivos.

Elegir macros de Excel 4.0 para propagar el malware puede parecer peculiar, sobre todo porque se introdujo en los productos de Microsoft Office hace 28 años. Sin embargo, Avaddon y muchos otros actores malignos han empezado a utilizarlo recientemente.

“Aunque es una técnica antigua, las macros malignas de Excel 4.0 empezaron a ganar popularidad en las campañas de malware en los últimos meses. La técnica ha sido adoptada por numerosas campañas, incluyendo aquellas que utilizan señuelos temáticos, como por ejemplo Covid-19”, escribe Microsoft Security Intelligence.

Microsoft ha observado un aumento en las campañas de correo electrónico malicioso con macros Excel 4.0 en los últimos meses. Desde abril, los atacantes comenzaron a usar el tema de Covid-19.


Contacto | Diario TI es una publicación de MPA Publishing International Ltd.