Utilizan Microsoft Office para ejecutar malware sin necesidad de macros

Recientemente se ha incrementado la cantidad de ataques que utilizan macros que contienen enlaces para la descarga de instaladores de malware. Es una forma bastante sencilla de engañar a los usuarios sin que estos sospechen. La lista incluye troyanos bancarios, adware, ransomware, etc. Ahora, los expertos de seguridad han encontrado que los hackers utilizan Microsoft Office pero sin necesidad de utilizar macros.

¿Qué es DDE?

Hasta ahora, los hackers habían engañado a los usuarios haciéndoles creer que debían activar las macros para visualizar el contenido total del archivo, apoyándose mayormente en el contenido del correo electrónico, utilizando en algunos casos mensajes adicionales dentro del propio documento. Allí, se indicaba cómo se podía realizar su activación.

Sin embargo, y lamentablemente para los usuarios, los hackers han logrado sacar provecho de otra función, permitiendo que no sea necesario utilizar las macros. Se trata de la función Microsoft Dynamic Data Exchange, también llamada DDE. Para los que no la conocen, esta función permite al usuario actualizar elementos de los documentos con base en la información que contienen otros.

Por ejemplo, gracias a DDE, si un usuario tiene una tabla en un documento de Word, tiene la posibilidad de actualizarla con los datos contenidos en una hoja de cálculos de Excel. Se trata de una función que no es nueva. De hecho, ha sido desplazada por la función OLE, pero se mantiene en Microsoft Office por un tema de compatibilidad.

¿Cómo utilizan los hackers DDE para distribuir malware?

Desde el punto de vista del usuario, esta función se presenta como un campo de texto en el que se puede señalar el documento a utilizar e instrucciones sin necesidad de abrir una instancia en otra aplicación que pertenezca a la suite de ofimática de Microsoft.

De esta manera, el usuario observará un mensaje que reflejará que el objeto referenciado cuenta con enlaces a contenido desconocido y que podría ser perjudicial para el ordenador. Sin embargo, muy pocas veces el usuario presta atención a este mensaje, por lo que los hackers pueden aprovechar la función de forma sencilla.

Los hackers utilizan DDE para abrir una línea de comandos, descargar el instalador del malware y ejecutarlo posteriormente. Evidentemente, el usuario no estaría consciente en ningún momento de lo que sucede.

Necesidad de una herramienta de seguridad

A pesar de que la herramienta no bloquea la ejecución de comandos en línea, sí puede detectar la instalación del malware y detener su instalación. Por fortuna, esta amenaza no es actual, y los software antivirus con la base de datos de virus totalmente actualizada puede ser capaz de detectar la amenaza sin problema.

Fuente: https://www.tekcrispy.com/2017/10/13/microsoft-office-malware-sin-macros/