Feed RSS
Noticias
Nov
24
Nubit Cloud Solutions - Propagación de macro malware en México usando ingeniería social
Publicado por Administrador Nubit en 24 November 2018 11:54 AM

Los correos falsos propagan macromalware en México utilizando técnicas de ingeniería social.

En los últimos días, el Centro de Ayuda de Nubit Cloud Solutions ha recibido diversas muestras y alertas sobre un correo electrónico fraudulento que circula en Internet. Se trata de una campaña de propagación de malware que busca engañar a usuarios mexicanos.

Como en campañas vistas con anterioridad, se trata de correos electrónicos que pretenden diseminar códigos maliciosos a través de macros de Word, en las cuales ya se ha utilizado el nombre e imagen de instituciones reconocidas como bancos, aerolineas, empresas de telefonía o de servicios.

En esta ocasión, el mensaje hace alusión a una supuesta tarifa de honorarios de ciertos usuarios que puden o no ser reconocidos por la víctima. En el correo se insta al destinatario a revisar un documento que contiene alguna oferta o tarifa de honorarios.  Esta técnica de intento de engaño al usuario es conocida como ingeniería social, y consiste en tratar de convencer al usuario de que se trata de una acción legítima.  Anteriormente habíamos visto estas técnicas en correos de phishing, o correos similares anunciando una deuda importante, una transferencia importante de dinero, una situación fiscal urgente, o una factura de pago de servicios.

Este tipo de correos típicamente tienen adjunto un archivo de Microsoft Word 97 a 2003, es decir, la terminación del archivo es ".doc", en lugar de versiones más modernas de Microsoft Word, cuya terminación es ".docx".  Una vez que el usuario abre el archivo, se ejecuta un Macro. Se trata de un código malicioso detectado como VBA/TrojanDownloader, que permite descargar otro malware.

La dirección de correo electrónico desde donde se envía en muchas ocasiones no corresponde con el nombre mostrado, por lo que puede resultar confuso para la vítcima.

La siguiente captura muestra un ejemplo del mensaje en cuestión:

Como se ha observado en campañas similares, el documento de Word sugiere al usuario habilitar las macros (que por defecto se encuentran deshabitadas como medida de seguridad), con el propósito de engañarlo y asegurar la descarga efectiva de un segundo programa malicioso

Luego de que la macro es extraída, muestra información sobre distintos temas generales utilizados para intentar ocultar información relevante sobre la carga efectiva de malware. El texto incluye un URL desde la cual es descargado el payload. Este último es programa malicioso, que puede ser por las soluciones de seguridad de antivirus disponibles en el mercado.

Recomendaciones Importantes

Lo primero que tenemos que saber es que un virus macro es aquel que modifica o sustituye una macro. Es decir, el conjunto de comandos que utilizan los programas para realizar acciones de manera automática. Un simple archivo de texto podría verse afectado por esto.

Este tipo de archivos suele llegar mediante correo electrónico. Por tanto la mejor manera de prevenir, más importante incluso que contar con antivirus y programas de seguridad, es el sentido común. Nunca debemos descargar o abrir un archivo de Word o Excel, por ejemplo, que hemos recibido por e-mail sin conocer realmente la fuente.

Los ciberdelincuentes utilizan este método donde normalmente usan un cebo para que el usuario lo abra. Nos pueden decir que se trata de una factura que no hemos pagado o información sobre un supuesto sorteo que hemos ganado. Cualquier cosa que pueda inducir a que los usuarios descarguen ese archivo.

Es por ello que siempre hay que desconfiar de este tipo de correos. Especialmente cuando no tenemos constancia real del destinatario. Algunas pistas de que algo no bueno hay detrás es cuando vemos un e-mail que se nota que está traducido (y malamente, en general), que no ofrece información veraz o que la dirección de correo contiene simbología extraña (más allá de que el nombre pueda coincidir con una empresa u organización legítima).

En caso de que descarguemos este archivo con una macro modificada maliciosamente, podría abrir la puerta a la entrada de malware. Podría incluso ser reenviado a todos nuestros contactos sin nuestro permiso.

Esto último hace que llegue a ser más peligroso. Esto es así ya que es probable que recibamos un archivo de Word o Excel desde una cuenta de un contacto que conocemos y confiamos. Por ello hay que prestar siempre mucha atención al campo del mensaje, al texto que contiene y a la información que pueda ofrecer.

Otra de las acciones que pueden hacer los usuarios es desactivar la ejecución automática de macros. De esta manera los usuarios tendrían que dar permisos para que se ejecute y los ciberdelincuentes tendrían más complicado actuar.

De esta manera, cuando recibamos un archivo que nos indique que debemos activar las macros, podremos preguntarnos si realmente es necesario hacerlo o no. Esto podría alertarnos de que realmente estemos ante un archivo malicioso.

Es importante que las empresas tengan programas de concientización a sus usuarios, de manera que puedan identificar rápidamente si se trata de un elemento de ingeniería social, que trata de convencer al usuario de lo que está leyendo es legítimo.

¿Qué acciones está tomando Nubit Cloud Solutions al respecto?

Nuestro equipo de seguridad ha analizado las muestras que recibimos, y estamos trabajando con nuestros proveedores de seguridad para filtrar de la mejor manera este tipo de correos. Al ser tan localizados a un ambiente en específco (México y Latinoamérica), los antivirus convencionales no necesariamente puden filtrar el correo electrónico.

Para todos nuestros usuarios de Nubit Cloud Office 365, pueden habilitar la herramienta de Protección Avanzada contra Amenazas de Exchange Online (ATP ó Advance Thtreat Protection) para interceptar o redirigir correo electrónico con malware este tipo de malware.

El servicio de Protección Avanzada contra Amenazas (ATP) ayuda a proteger su organización frente a ataques malintencionados por:

  • Análisis de archivos adjuntos de correo electrónico de malware.

  • Análisis web direcciones (URL) en mensajes de correo electrónico y documentos de Office.

  • Identificación y el bloqueo de archivos malintencionados en Sharepoint y OneDrive Empresarial.

  • Comprobación de los mensajes de correo electrónico de suplantación de identidad no autorizado.

  • Detectar cuando alguien intenta suplantar a los usuarios y dominios personalizados de la organización.

Nubit Cloud Office 365 ATP se incluye en las suscripciones: como Microsoft 365 Enterprise, Office 365 Enterprise E5, Office 365 Académico A5 y Microsoft 365 Business.  Si su organización tiene una suscripción a Nubit Cloud Office 365 que no incluye Office 365 ATP, puede adquirir  ATP como un complemento adicional.

Para todos nuestros usuarios de Nubit Cloud Mail, estamos trabajando muy de cerca con el equipo de seguridad del Centro de Datos para enviar muestras de estos correos electrónicos de manera que puedan ser identificados claramente como Spam/Virus por los servicios de seguridad del Centro de Datos.

Aún con estas protecciones se recomienda siempre contar con protección adecuada en sus equipos de cómputo con herramientas tales como antivirus y firewall.


Leer más »