Los piratas informáticos pueden apuntar a su computadora y propagar malware a través de la técnica de cifrado de Excel
En este momento, la mayoría de los usuarios de Internet conocen el peligro de descargar archivos extraños de correos electrónicos sospechosos que terminan en su bandeja de entrada. Esto ha obligado a los piratas informáticos a emplear formas más complejas de ingeniería social y ofuscación, así como herramientas más avanzadas para llevar a cabo sus ataques, aunque los fundamentos de lo que dicen los ciberdelincuentes siguen siendo los mismos durante décadas. Caso en cuestión: la reciente infestación de LimeRAT que se propaga a través de archivos de Microsoft Excel.
Sí, la mayoría de los usuarios conocen y buscan correos electrónicos sospechosos. Es por eso que los hackers hoy en día hacen esfuerzos para que sus mensajes fraudulentos sean lo más legítimos posible. A menudo ponen los nombres y logotipos de compañías bien conocidas y respetadas e intentan engañar al usuario para que descargue un archivo malicioso.
Aquí es donde entra en juego la parte ingeniosa: si el archivo es demasiado sospechoso, el usuario puede notarlo y esquivar el intento. Además, dijo que el usuario tiene una solución antimalware decente activa en su dispositivo; pondrá en cuarentena o eliminará por completo el archivo ofensivo antes de que pueda causar algún daño. Entonces, dado que la carga útil no se puede descargar directamente, debe pasar por una capa de ofuscación, tanto para engañar al usuario como para engañar a sus defensas.
El uso de Microsoft Excel para este propósito no es una táctica nueva; de hecho, existe desde hace más de diez años, con casos notables reportados desde 2009. Lo interesante es que está resurgiendo, con algunas adiciones notables.
La carga útil que usan los atacantes sigue siendo el troyano de acceso remoto LimeRAT probado y verdadero que ha existido durante años y que se ha utilizado para robar información y colocar malware adicional en las máquinas de los usuarios durante años. Es conocido por su capacidad de propagarse a través de unidades USB conectadas, desinstalarse si detecta una máquina virtual, bloquea pantallas y roba todo tipo de datos de usuario, que luego encripta con un envío de encriptación AES a un servidor de comando y control si puede
Sin embargo, lo más notable de esta última campaña con archivos MS Excel es que en realidad usa archivos .xls de solo lectura para descargar LimeRAT en la PC del usuario. Los archivos de Excel de solo lectura están encriptados de manera predeterminada, por lo que pueden pasar desapercibidos por el software de detección de malware, pero el programa que abre el archivo con una contraseña predeterminada los desencripta automáticamente. Básicamente, el archivo permanece ofuscado durante la descarga, pero una vez que está en la PC, puede usarse para infectarlo. Además, el usuario no necesita usar una clave de descifrado para desbloquearlo y permitir que se entregue la carga maliciosa real.
Entonces, ¿qué pueden hacer los usuarios para protegerse contra ataques tan ingeniosos?
Table of Contents
Verifique cuidadosamente el remitente del correo electrónico
Esta es una forma segura de detectar vendedores de malware. Si recibe un correo electrónico de un remitente sospechoso, no parece que tenga nada que ver con el asunto del correo electrónico, es un regalo obvio que un cibercriminal está tratando de brutalizar su máquina. Si bien el remitente puede hacer que el mensaje aparezca casi de la forma que desee, puede hacer muy poco para ocultar la naturaleza falsa de la dirección desde la que se envió.
No descargue archivos no solicitados
Nunca descargue archivos recibidos a través de correos electrónicos no solicitados.
Esté atento a los archivos extraños
Incluso si confía en la fuente del correo electrónico y parece legítimo, pregúntese: ¿tiene sentido que esta persona me envíe este tipo de archivo? ¿Por qué un empleado de Facebook o Google, por ejemplo, intentaría enviarle un archivo .xls? Probablemente no lo harían. Si la situación no tiene sentido después de un examen minucioso, probablemente resulte que la razón fue que usted fue el objetivo de un vendedor de malware.
