Función para adjuntar video en archivos de Word podría ser utilizada para enviar código malicioso

Hackers podrían abusar de una característica que permite adjuntar un video directamente en un documento de Word para que la víctima descargue y ejecute malware en su equipo

Investigadores en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de malware que abusa de la característica para adjuntar videos a un documento de Word para entregar código malicioso que las víctimas podrían descargar en sus equipos. Acorde a los investigadores, producir un documento que entregue la carga útil maliciosa es bastante fácil.

Acorde a los expertos en forense digital, para llevar a cabo este ataque, un atacante primero deberá crear un documento de Word, llenarlo con el contenido que considere apropiado para sus fines, luego usar Insertar – Video en línea, agregar un video de YouTube al documento y guardar el archivo.

El archivo guardado se debe desempaquetar, ya sea con una herramienta específica o cambiando la extensión .docx a .zip y descomprimiéndolo. Estas acciones le permiten al atacante acceder a un archivo XML llamado document.xml en la carpeta de Word, abrirlo y editarlo.

En lugar del código iframe de YouTube para el video (incluido después del parámetro embeddedHtml), el atacante puede elegir poner un código HTML o JavaScript malicioso, luego guardar los cambios, actualizar el paquete .docx y encontrar una manera de entregar el archivo a la víctima y conseguir que abra el archivo y hacer clic en el video incorporado para acceder a su contenido.

Esta interacción con el video activará la descarga del archivo ejecutable incorporado al abrir el Administrador de Descargas de Internet Explorer. Una ventana aparecerá preguntando a la víctima del ataque si desea ejecutar o guardar el archivo, pero no se le advertirá sobre los posibles peligros de hacerlo. Para su mala fortuna, muchos usuarios no piensan dos veces antes de hacer clic, aprobando la ejecución de la carga maliciosa.

Acorde a los expertos en forense digital: “los atacantes podrían usar esto con propósitos maliciosos como el phishing, ya que el documento mostrará el video adjunto con un enlace a YouTube, mientras que disfrazan un código HTML/JavaScript oculto que se ejecutará en segundo plano y podría conducir a un posterior escenario de ejecución de código malicioso”.

¿Qué pueden hacer los usuarios?

Los expertos consideran que este incidente debe ser considerado como una vulnerabilidad con el potencial de afectar a todos los usuarios con Office 2016 y versiones anteriores de la suite de productividad.

Microsoft ya ha sido notificada de la vulnerabilidad, pero han informado que por ahora no planean hacer nada al respecto ya que el software está interpretando correctamente el HTML como está diseñado. Pero si la característica comienza a ser abusada de forma más amplia, la empresa podría terminar lanzando algún parche de actualización.

Según reportes de especialistas en forense digital, una situación similar ocurrió el año pasado cuando, después de un aumento considerable de las campañas de malware que abusaban de la función de Intercambio Dinámico de Datos (DDE) en Word; Microsoft inicialmente dijo que era una función, no una vulnerabilidad, y simplemente ofreció consejos de mitigación de riesgo ante una situación de ataque, pero finalmente terminó deshabilitar DDE por defecto para detener la oleada de abusos de la función.

Tags: