Desde siempre, los piratas informáticos han tenido en el punto de mira de su malware a los usuarios de Windows. El sistema operativo de Microsoft, al tener una mayor cuota de mercado, era mucho más fácil de infectar y podía generar a los piratas informáticos un mayor beneficio. Los otros sistemas operativos, como macOS o Linux, han permanecido seguros y libres de malware durante mucho tiempo, aunque últimamente las tornas están cambiando.
Una técnica muy utilizada para infectar a los usuarios de Windows son las macros de Office. Una macro es una función ofimática que nos permite guardar código dentro de documentos de Office de manera que, al abrirse el documento, este pequeño código se ejecute para ejecutar una serie de comandos que, de ser malintencionados, pueden descargar e instalar malware en los ordenadores.
Microsoft ha aplicado una serie de medidas en Office para que este tipo de código no se ejecute automáticamente al abrir documentos y avisar al usuario de los peligros que supone ejecutarlo. Debido a que cada vez es más complicado infectar a los usuarios de Windows con esta técnica, los piratas informáticos han empezado a enfocar sus ataques con macros a los usuarios de macOS, concretamente a aquellos que tienen configurado el sistema para permitir automáticamente la ejecución de macros.
Recientemente, las empresas de seguridad han detectado una nueva campaña maliciosa que, mediante macros, buscan infectar a los usuarios de Apple con malware. A continuación, os explicamos cómo funciona este ataque informático y cómo podemos protegernos fácilmente de él.
Una infección efectiva a pesar de no ser demasiado compleja
Los piratas informáticos están enviando correos electrónicos relacionados con la polémica victoria de Trump. Cuando la víctima ejecuta el documento adjunto en dichos correos, automáticamente se ejecuta la macro de Word diseñada para realizar lo siguiente:
- Comprueba que el cortafuegos LittleSnitch no se está ejecutando en el sistema.
- Descarga de un servidor remoto un payload cifrado.
- Descifra el payload utilizando una clave privada.
- Ejecuta el payload para comenzar la infección.
Toda la macro está escrita en Python y, además, utiliza el framework de código abierto para explotar sistemas macOS EmPyre para hacerse persistente en el sistema.
Una vez que la infección tiene lugar, el malware empieza a trabajar monitorizando la webcam del ordenador, robando todas las contraseñas de la víctima y recopilando el historial de páginas web visitadas.
Como podemos ver, este ataque informático no es nada del otro mundo y utiliza una técnica muy arcaica. La mejor forma de protegernos de este software es desconfiando siempre de los correos electrónicos que recibimos. Además, nunca debemos marcar la opción de “ejecutar siempre las macros”, sino todo lo contrario, si las bloqueamos por defecto estaremos más seguros.
Además, como hemos dicho, la macro comprueba que el cortafuegos LittleSnitch no esté habilitado en el sistema macOS, por lo que si lo descargamos e instalamos, además de protegernos de esta amenaza, podremos tener una capa de seguridad adicional en nuestro sistema.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
