A la hora de orquestar un ciberataque uno de los factores principales es emplear una plataforma de uso generalizado. La popularidad asegurará que el delito tendrá un efecto masivo y eso es lo que busca el nuevo malware que afecta a los documentos Word.
Se trata de un ataque que infecta los equipos a través de un malware que se inyecta por medio de esos archivos. Los cibercriminales detrás de este delito son los rusos Fancy Bear, que se hicieron conocidos por haber filtrado –junto con otro grupo de hackers denominado Cozy Bear– información sensible sobre la campaña presidencial de Hillary Clinton.
También fueron señalados con los autores del hackeo de las pruebas de doping de la gimnasta Simone Biles y las hermanas Williams.
Ahora están detrás de un nuevo cibercrimen de grandes magnitudes. La vulnerabilidad explota el protocolo Dynamic Data Exchange (DDE) de Word. El DDE sirve para las comunicaciones, por ejemplo, para actualizar una nueva versión de archivo de Word.
"Pero en este caso los cibercriminales lo pueden usar para descargar un archivo malicioso sin tener que usar una macro, que es un script comúnmente utilizado dentro del archivo de Word para infectar con malware", explica Lucas Paus, investigador de seguridad informática en Eset.
Cabe aclarar que las macro vienen por default en los programas y son una serie de instrucciones agrupadas bajo un mismo comando para completar una tarea automáticamente. El problema es cuando esas macro se utilizan para hacer ciberataques, pero no es este el caso.
En esta ocasión se trata de una vulnerabilidad que explota el DDE, una tecnología que permite que se envíen actualizaciones y que un archivo ejecute código almacenado en otro archivo. Es decir que los atacantes usan para su provecho una herramienta que se incluye por default en Word y que no es considerada una falla sino más bien una característica propia del sistema.
LEA MÁS: Cómo es el smartphone a prueba de hackers
En este ataque se enviaron diferentes archivos infectados, uno de ellos figura con el nombre IsisAttackInNewYork.docx. Al abrir este documento, se activa un script llamado PowerShell que desactiva las medidas de seguridad, para luego descargar el malware Seduploader, por medio del cual los hackers pueden obtener información sobre el sistema y, en el caso de que les interese el objetivo en cuestión, pueden realizar un ataque de mayor magnitud.
Cómo protegerse
Como primera medida, es fundamental tener el sistema operativo actualizado y, además, tener un software de protección para detectar estas amenazas. En el caso de que no se cuente con uno y no se haya recibido ninguna alerta, hay que saber que cuando se quiera ejecutar el archivo malicioso surgirán dos ventanas emergentes como las siguientes, donde se le preguntará al usuario si quiere actualizar el documento con datos de los archivos adjuntos.
"Como los archivos enviados por mail son el principal método de ataque para distribuir este malware, Microsoft recomienda que los usuarios sean cautos al abrir adjuntos sospechosos", comunicó la compañía.
Por otra parte, Microsoft publicó un instructivo detallando cómo hacer para modificar el editor de registro de manera manual. En el documento se aclara que estas instrucciones las deben llevar a cabo usuarios con conocimientos y se advierte que, de no hacerlo de manera adecuada, se podría dañar el sistema operativo.
LEA MÁS:
Criptomonedas y redes de computadoras zombies: así son los nuevos ciberataques
Cómo operaba la red de ciberdelitos más grande del mundo
Revelan que hackers se infiltraron en computadoras de centrales nucleares de EEUU