Así se adaptan los ciberdelincuentes al bloqueo de macros en Microsoft Office

Microsoft realizó en octubre de 2021 y febrero de 2022 anuncios de que bloquearía por defecto las macros para los usuarios de Office, lo que ha llevado a los ciberdelincuentes a adoptar nuevas tácticas, técnicas y procedimientos en sus amenazas. El equipo de investigación de Proofpoint ha observado que entre octubre de 2021 y junio de 2022 ha disminuido un 66% el uso de archivos adjuntos habilitados por macros de parte de los atacantes.

Hasta este año, que se han aplicado los cambios en Microsoft, los ciberdelincuentes basaban sus amenazas en ingeniería social para convencer a la víctima de que el contenido adjunto era importante y que para poder verlo era necesario activar las macros VBA y XL4 en las aplicaciones de Office. Ahora han tenido que alejarse de esas prácticas para distribuir malware mediante archivos contenedores de tipo adjunto, como ISO y RAR, o de acceso directo de Windows (LNK). Cuando se abren, aparece contenido adicional (LNKs, DLLs o archivos ejecutables) que conduce a la instalación de la payload maliciosa.

La investigación de Proofpoint revela que el número de campañas de amenazas que siguen este método ha aumentado casi un 175% en los últimos meses.

Para Proofpoint, este ha sido uno de los mayores cambios en la metodología de amenazas por correo electrónico, el principal vector de ataque en la actualidad, que se ha dado recientemente en ciberdelincuencia. Con ello, los atacantes consiguen eludir las protecciones de bloqueo de macros por parte de Microsoft, así como facilitar la distribución de ejecutables que desencadenen en malware de seguimiento, reconocimiento y robo de datos, o ransomware.