Una campaña de 'malware' de día cero corrompe archivos de Word para evitar que lo detecten herramientas de seguridad

Investigadores de seguridad han advertido un nuevo ataque de día cero que consiste en enviar archivos corruptos a través de correo electrónico y aprovecharse de la función de recuperación de archivos de Word de Microsoft para evitar ser detectados por antivirus y otras soluciones de 'software'.

Cuando este programa de ofimática detecta que un archivo con contenido ilegible, pregunta al usuario si desea recuperar el documento o no. Así, ofrece la opción 'Sí', y apunta que solo se debe pulsar sobre él si esa persona "confía en la fuente de ese documento".

Estos documentos, que llegan a las víctimas a través de correo electrónico malicioso como parte de una campaña de 'phishing' recientemente detectada por el equipo de seguridad de Any.Run incluyen un código QR que el usuario debe escanear para recuperar el presunto documento.

Al hacerlo, se les redirige a una interfaz que simula ser el inicio de sesión de Microsoft. Los ciberdelincuentes se apropian de las credenciales de usuario una vez la víctima los indique en los campos de texto de nombre y contraseña como parte de su ataque 'zero day' (día cero).

Los expertos de Any.Run han señalado que, aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no pueden analizarlos de la forma correcta, tal y como han comprobado con diferentes antivirus. En la mayoría de los casos, se devolvió el documento como "limpio" o "elemento no encontrado".

"Las soluciones de seguridad intentan extraer su contenido asumiendo que necesitan escanear los archivos dentro, y pasan por alto el archivo en sí. Como el sistema de extracción [de contenido malicioso] no encuentra ningún fichero dentro del documento, se niega a guardarlo. Como resultado el proceso de escaneo nunca comienza", han matizado los inestigadores en su perfil de X.

De ese modo y a pesar de ser un archivo modificado deliberadamente por los ciberdelincuentes, permanece indetectable para las soluciones de seguridad, pero las aplicaciones del usuario lo manejan sin problemas debido a los mecanismos de recuperación integrados que explotan los atacantes.

Esto sugiere que aunque el objetivo final de este ataque de 'phishing' no es nuevo, el uso de documentos de Word fraudulentos se configura como una táctica novedosa empleada por los ciberdelincuentes para evitar la detección, tal y como señala BleepingComputer.

Los expertos han apuntado finalmente que, en base a sus investigaciones, este ataque malicioso ha estado activo durante varios meses y que los primeros casos se remontan al pasado mes de agosto.