Artículo del blog de Stewart

Archivos adjuntos habilitados para macros: ¿conoce el peligro que está acechando en su correo electrónico? | Blog de Stewart Title

Publicado el: 24 de mayo de 2019

POR GENADY VISHNEVESTKY

¿Está familiarizado con los archivos adjuntos habilitados para macros? Es una forma de phishing y tiene algunos atributos interesantes que debe conocer. Si alguna vez recibe un correo electrónico con la introducción “Saludo, cliente querido”, debe eliminar el correo electrónico inmediatamente.

La puntuación, la mala gramática y la falta de espaciado adecuado revelan al instante que se trata de un intento de suplantación de identidad elaborado de forma cruda que está jugando con tu curiosidad o miedo a una compra reciente. Además, aunque se trata de un método de confinamiento estándar al que ya puede estar acostumbrado, recuerde que la amenaza real reside en el archivo adjunto.

El archivo adjunto (imagen 1) está incrustado en un archivo de formato Microsoft más reciente y tendrá una extensión de cuatro letras: docm. La "m" es lo que la hace peligrosa. "M" al final de cualquier archivo de Microsoft (Word, Excel o PowerPoint) significa que es un archivo habilitado para macros.

Las macros se utilizan para automatizar un elemento aleatorio dentro del documento. Utiliza un lenguaje de script y puede grabar pasos o eventos con la grabadora de macros. No mucha gente lo usa, pero a los ciberdelincuentes les encantan los archivos habilitados para macros. Ocultarán silenciosamente un script malicioso como macro y, una vez que abra y habilite el documento, su sistema se conectará al sitio web de los autores para descargar contenido malicioso sin su conocimiento.

Sin embargo, Microsoft se convirtió en conocedor de esta forma de ciberdelitos y, con la creación de Office 2013, implementaron “Vista protegida” para todos los archivos de oficina. Esto abre cualquier archivo (Word, Excel o PowerPoint) en una vista protegida de solo lectura. Con esta vista, tiene que reconocer y habilitar deliberadamente la edición, el almacenamiento, la impresión, etc.

Si abriera ese archivo adjunto de Word, se le pedirá que indique al hacker que "Habilite la edición" (imagen 2) y, en consecuencia, "Habilite el contenido" (3) en la segunda selección dinámica. Un bonito camuflaje estándar con el logotipo de MS Word es una declaración de que el archivo es una versión más antigua; no caigas presa de esto. No puede abrir formatos de archivo más nuevos con la versión anterior de Office, pero SIEMPRE puede abrir formatos más antiguos con una versión más reciente de Office. Afortunadamente, Microsoft hace un excelente trabajo para protegerle.

Como siempre, piense antes de hacer clic.

Powered by