Según ANY.RUN, se han utilizado documentos y archivos de Microsoft Office corruptos para evadir la detección en una reciente campaña de phishing.
Los archivos se corrompieron intencionalmente para evitar que los analizaran los filtros de correo electrónico y el software antivirus, y para evitar que se inicien correctamente en entornos de espacio aislado. Sin embargo, los archivos aún se pueden recuperar y leer cuando se inician con un software específico, como Microsoft Word para archivos DOCX y WinRAR para archivos ZIP.
La campaña ha estado activa desde al menos agosto de 2024 y utiliza códigos QR en documentos para difundir enlaces a sitios web de phishing disfrazados de páginas de inicio de sesión de cuentas de Microsoft. En los ejemplos publicados por ANY.RUN, los documentos se han adjuntado a correos electrónicos que parecen avisos de recursos humanos sobre el salario o los beneficios laborales del objetivo.
Debido a que los archivos se envían en un estado corrupto, muchos programas antivirus no los reconocen como maliciosos. Al cargar uno de los archivos adjuntos en VirusTotal, no se detectaron indicadores de contenido malicioso y las soluciones antivirus devolvieron resultados de «limpio» o «Elemento no encontrado» para el archivo, publicó ANY.RUN.
A pesar de esto, las funciones de recuperación de programas como Microsoft Word están especialmente equipadas para devolver archivos dañados de ciertos tipos, como archivos DOCX, a un estado legible, lo que garantiza que el enlace de phishing llegue al usuario. Por lo tanto, la naturaleza maliciosa del archivo solo se revela después de pasar por el proceso de recuperación en uno de estos programas.
Los atacantes utilizan con frecuencia documentos de Word maliciosos y otros tipos de archivos manipulados para ocultar su malware y ataques de phishing de los sistemas de seguridad. Por ejemplo, ocultar malware en macros en documentos de Microsoft Office es una táctica que se ha utilizado para propagar troyanos como Dridex y Emotet, lo que llevó a Microsoft a comenzar a bloquear macros de forma predeterminada en 2022.
Otro ejemplo es el uso de archivos “políglotas” que contienen más de un tipo de archivo, lo que dificulta que el software de seguridad los interprete correctamente. Esto podría incluir un documento de Word malicioso incrustado en un PDF o la combinación de JavaScript con imágenes para ocultar código malicioso.
El uso de códigos QR para ocultar enlaces maliciosos, también conocido como quishing, también ha ido en aumento, y la mayoría de estos ataques con códigos QR se realizan a través del correo electrónico. La creciente popularidad de los códigos QR ha llevado a muchas soluciones de seguridad de correo electrónico a incorporar la detección de códigos QR en sus capacidades de escaneo de enlaces, lo que requiere que los ataques encuentren más capas de ofuscación para agregar a sus esquemas.
Sin embargo, Grimes señaló que algunos filtros aún tienen dificultades para manejar códigos QR, lo que hace que la combinación de técnicas de evasión sea especialmente peligrosa. Esto resalta la importancia de la conciencia del usuario cuando se enfrenta a estafas de phishing que evaden el software.
Info – Ciberseguridad Latam