El malware de macros ha regresado con la llegada de sofisticadas tácticas de ingeniería social y la popularidad de los programas de macros. Las macros de Microsoft Office en particular son un objetivo atractivo para los ciberdelincuentes debido a la enorme base de usuarios de MS Office.
El malware de macro a menudo aprovecha la programación de Visual Basic para Aplicaciones (VBA) en las macros de Microsoft Office para propagar virus, gusanos y otras formas de malware, lo que representa un riesgo significativo para la seguridad corporativa.
Cómo funciona el malware de macros
Una macro (abreviatura de "macroinstrucción", literalmente "comando de mayúsculas" del griego makros: "grande") es una cadena de comandos que le dice a aplicaciones como Excel y Word que realicen acciones específicas. Las macros agrupan varias instrucciones más pequeñas en un solo comando y las ejecutan juntas. Esto mejora la funcionalidad de la aplicación al acelerar los procesos recurrentes.
Debido a que las macros son programas, como cualquier otro programa, pueden verse potencialmente comprometidas por autores de malware. Los virus de macro están escritos en el mismo lenguaje de macros que se utiliza en los programas de software, incluidos Microsoft Word o Excel. En un ataque de macromalware, los ciberdelincuentes a menudo crean código malicioso y lo incrustan en macros de documentos que se distribuyen como archivos adjuntos en correos electrónicos de phishing. Una vez que la víctima abre el archivo adjunto, las macros que contiene pueden ejecutarse y el malware comienza a infectar todos los archivos abiertos con Microsoft Office. Esta capacidad de propagarse rápidamente es uno de los principales riesgos del malware de macros.
Prácticas recomendadas de protección contra malware de macros
Los virus de macro pueden invocar funciones maliciosas, como modificar el contenido de documentos de texto o eliminar archivos. El malware Emotet también suele utilizar macros para acceder a la red. En el siguiente paso, carga módulos adicionales como troyanos bancarios, ladrones de contraseñas o ransomware. Algunos virus de macro también acceden a las cuentas de correo electrónico de la víctima y envían copias de los archivos infectados a todos los contactos, quienes a su vez suelen abrir estos archivos ya que provienen de una fuente confiable.
Si no se ejecutan las macros en un archivo de Microsoft Office, el malware no puede infectar el dispositivo. El mayor desafío para evitar infecciones de malware de macro radica en identificar correctamente los correos electrónicos de phishing. Se debe tener cuidado con los siguientes puntos:
- Correos electrónicos de remitentes desconocidos
- Correos electrónicos con facturas o información supuestamente confidencial adjunta
- Documentos que proporcionan una vista previa antes de habilitar las macros
- Documentos cuyos procesos macro parecen sospechosos
La mejor manera de eliminar la amenaza del malware de macros es reducir la interacción entre el malware y un dispositivo. Las organizaciones deben usar una combinación de las siguientes técnicas para fortalecer sus defensas contra los ataques de macro malware.
Eliminar la amenaza de malware de macros
1. Uso de un filtro de spam/basura y protección contra phishing
Cuantos menos correos electrónicos de phishing lleguen a la bandeja de entrada, menos posibilidades hay de un ataque de macromalware. Además del clásico filtro de spam, existen tecnologías especiales de protección contra el phishing que también pueden detectar sofisticados ataques de spear phishing basados en el aprendizaje automático. Estas soluciones aprenden el comportamiento de comunicación normal dentro de una empresa y hacen sonar la alarma en caso de anomalías.
2. Usando un programa antivirus fuerte
El software antivirus puede enviar una alerta cuando un usuario intenta abrir un enlace malicioso o descargar un archivo sospechoso.
3. Archivos adjuntos de remitentes desconocidos
Si los usuarios no conocen el remitente de un correo electrónico, no deben abrir los archivos adjuntos, incluso si el correo electrónico contiene información personal o afirma que el correo electrónico es una factura impaga.
4. Archivos adjuntos en correos electrónicos sospechosos de remitentes conocidos
Al invertir el código del archivo malicioso, los investigadores de seguridad pueden decodificar los datos encriptados almacenados por la muestra, determinar la lógica del dominio del archivo y revelar otras capacidades del archivo que no se revelaron durante el análisis de comportamiento. La inversión manual del código requiere herramientas de análisis de malware, como depuradores y desensambladores.
5. Comprobar antes de la ejecución que procesa los controles de una macro
Si el comando macro parece realizar acciones maliciosas, las macros no deben estar habilitadas. Dado que muchos usuarios están familiarizados con el término malware de macros, pero es posible que no sepan cómo identificarlo, las empresas también deben educar a sus empleados a través de capacitaciones periódicas sobre cómo reconocer posibles amenazas, especialmente en el área de la ingeniería social. Una mayor conciencia de los usuarios sobre los peligros de los virus de macro ayuda a fortalecer significativamente la seguridad corporativa y minimizar los ataques exitosos de malware de macro.
[ID de starbox = 6]