Malware.doc

El malware ha acompañado a los ordenadores desde el inicio de los tiempos. Primero a través de floppy disks, o fallos en los servidores, después mediante correo electrónico o páginas web, los virus y gusanos han tratado de comprometer, subvertir y dañar nuestros sistemas. En su mayoría eran archivos ejecutables, que fueron cayendo en desuso a medida que los usuarios y los departamentos de seguridad IT de las empresas fueron adquiriendo destrezas. No existían muchas razones por las que alguien quisiera enviarnos por mail un archivo ‘.exe’, y pronto las empresas y particulares empezaron a bloquear y evitar la descarga de este tipo de programas sin un conocimiento explícito.

Este contenido fue publicado en el número de junio de la revista IT Digital Security, disponible desde este enlace.

En ese mar de vulnerabilidades, las descargas de archivos de texto u hojas de cálculo como Word o pdf parecía segura. Sin embargo, los documentos han cambiado enormemente con el tiempo, y sus nuevas funcionalidades han abierto una nueva vía de entrada que los cibercriminales no iban a dejar escapar.

Los productos como Microsoft Word y Adobe PDF han agregado capacidades de macros y secuencias de comandos que hacen posible que los documentos funcionen de la misma manera que los programas ejecutables, hasta la capacidad de ejecutar procesos e instalar otros bits de código en los sistemas de los usuarios”, explica Jim Rapoza, analista independiente de seguridad de Sophos en la página web de la compañía.

“Los formatos modernos ofrecen muchas ventajas, como la firma digital, la edición compartida, o la adaptación del documento a distintos soportes para asegurarnos de que todos los destinatarios ven el documento de la misma manera. Si renunciamos a estos avances debido a la existencia de malware, los malos ganan”.

Según el último informe de vulnerabilidades de 2019 de Sophos, este tipo de amenazas, conocidas como malware basado en documentos, se convertirán en uno de los principales focos de infección durante este año. Otra compañía de seguridad, SonicWall, detectó 74.000 nuevas formas de ataque basadas en documentos durante el ejercicio pasado.

Si bien el volumen parece bajo a primera vista, la mayoría de los controles de seguridad no logran identificar y mitigar el malware oculto en estos archivos, lo que aumenta significativamente el éxito de la carga útil.

Pero el malware oculto en este tipo de archivos no es nuevo. En 1999, un pequeño virus llamado “Melissa” se extendió rápidamente por Internet y en el proceso hizo caer redes y servidores de correo. Melissa se propagó, precisamente, subvirtiendo las capacidades de macro en Microsoft Word.

“Una de las principales razones de su enorme expansión es su facilidad de uso –explica Ivan Mateos, ingeniero de ventas de Sophos Iberia-. Crear un documento es sencillo; la herramienta de carga de código en un documento pdf o doc. es relativamente simple. Antes, cuando recibíamos un virus, era una ejecutable”.

“Era fácil para la gente de IT por ejemplo, restringir sólo la descarga a archivos de documentos, que es lo que suele utilizar la gente en una oficina. Sin embargo, en este caso el malware está oculto en un tipo archivo que a veces puede burlar la vigilancia de un antivirus convencional. Desde Melissa sabemos cómo pararlo, pero mientras sea efectivo, no parará de aumentar, y habrá usuarios expuestos”.

En la mayoría de los casos, apunta Mateos, las funcionalidades de macros o ejecución de scripts están deshabilitadas por defecto en los lectores de Word y pdf, sin embargo, al abrir el archivo el programa preguntará si deseamos ejecutar estos complementos. “El usuario no se da cuenta. El documento presenta el mismo aspecto y podemos utilizarlo con normalidad. A veces, lo más importante, es el sentido común. Si abres un documento y te solicita que ejecutes algo, comienza a sospechar”.

Más de 170.000 variantes nuevas en un mes

“En 2016 la mayoría de los ataques estaban dirigidos contra el navegador, pero a medida que éstos fueron limitando flash y Java, la superficie de ataque se redujo, hasta cambiar en 2018 hacia ataques en documentos”, explica por su parte Sergio Martínez, director general de SonicWall para España y Portugal.

“Existen en estos momentos dos grandes caballos de batalla; por un lado los ataques de canal lateral, que provechan vulnerabilidades de los procesadores de Intel, y por otro lado, los ataques basados en archivos pdf y Office 365. Hemos pasado de 74.000 nuevas formas de ataque en pdf a 174.000 detectadas tan sólo durante el mes de marzo”.

“Recibes un documento, y dentro de este hay por ejemplo, un link, o un script. En algunos casos tienes que abrir ese link o ejecutar ese script, pero en muchos casos, ni te enteras, porque está ocurriendo en segundo plano”.

“Una de las soluciones más comunes es un sandbox, donde abres el documento y ves cómo se comporta en un entorno controlado para identificar un posible malware, pero un nuevo motor, lo que llamamos Real-Time Deep Monitoring Inspection (RTDMI), que aun muy bajo nivel, a nivel de memoria, identifica comportamientos anómalos, lo que nos permite bloquear malware no identificado”.

Los creadores de malware modernos implementan técnicas cada vez más avanzadas, que incluyen cifrado personalizado, ofuscación y embalaje, además de actuar de forma benigna en entornos de espacio aislado sandbox, para permitir que el comportamiento malicioso permanezca oculto. Estas técnicas a menudo ocultan el armamento más sofisticado, que solo se expone cuando se ejecuta dinámicamente y, en la mayoría de los casos, es imposible analizarlo en tiempo real utilizando técnicas de detección estática.

Los investigadores de SonicWall Capture Labs aprovecharon una variedad de técnicas de aprendizaje profundo para analizar bloques de código de cientos de terabytes de malware y metadatos relacionados de alta calidad de las características extraídas, y esas perspectivas combinadas dieron como resultado la solución RTDMI.

“Para protegernos tenemos que tener sistemas de protección de correo electrónico. Y por supuesto, un firewall. Pero en muchos casos, la información que pasa por la red está cifrada, y si no la desencriptas, no puedes analizarlo. Por ello es necesario también con una protección endpoint”, añade Sergio Martínez.

La forma más obvia y evitable de resultar infectado es evitar abrir archivos de correos electrónicos no deseados. Sin embrago, si el sistema ha sido infectado, el malware es capaz de adjuntar nuevo malware en nuevos documentos que pueden llegar a través de un correo electrónico de una fuente conocida. Las páginas web tampoco son seguras, por mucho que tendamos a confiar en los pdf que podamos descargar de ellas, como un informe o un formulario.

Y una vez abierto el documento, el malware utiliza secuencias de comandos incrustadas para descargar e instalar de forma silenciosa otro malware de sitios en Internet. A menudo, estas cargas útiles descargadas toman la forma de los peores tipos de malware, los rootkits que roban información de su sistema o botnets que hacen que su sistema sea parte de las redes maliciosas utilizadas para atacar tanto a compañías como a redes para continuar con la propagación de malware y spam, apunta Sophos en su página web. “Una vez que un documento infectado está en tu sistema y se ejecuta, el atacante puede usarlo para lanzar cualquier tipo de ataque o implementar cualquier otro tipo de malware disponible”, alerta la compañía.

Falta de concienciación

“La gente tiende a no sospechar de los documentos de Word y pdf. Por ejemplo, nosotros realizamos en Check Point una prueba de envío de currículums a través de LinkedIn, y logramos una gran éxito con documentos Word y pdf con malware oculto. En muchas ocasiones, por ejemplo, es más fácil engañar a alguien de un departamento de recursos humanos, o financieros, que reciben innumerables documentos no solicitados, como CVs o facturas, y que muchas veces no cuentan con adecuada formación en materia de ciberseguridad”, explica Eusebio Nieva, director técnico de Check Point.

“La mayoría de las vulnerabilidades están, por ejemplo, en el lector de pdf. El lector de Adobe tiene muchas vulnerabilidades, por eso es fundamental mantenerlo actualizado. Por este tipo de documento pueden entrar todo tipo de amenazas, como un rootkit, un cryptominer, e incluso, un ransomware”.

“Por desgracia, no se trata de bloquear este tipo de archivos, o limitar sus funcionalidades, como lo macros u otras aplicaciones. Necesitamos que se reciban y funcionen porque son una herramienta básica de trabajo. Para evitar las infecciones hay tres formas. Actualizar el lector, o mantener una herramienta corporativa que abra este tipo de documentos. Utilizar sandboxing, de tal manera que los archivos se abran previamente en un entorno seguro, y por último, transformarlos en otro tipo de documento. Pasar un Word a pdf, o viceversa, respetaría el contenido, pero eliminaría en muchos casos el malware”, explica Nieva.

Ivan Mateos, de Sophos, apuesta por la protección del puesto de trabajo. “Un sistema antiexploit, antivirus y sistemas basados en comportamiento. Nosotros identificamos 400.000 muestras de malware al día. No puedes llegar a tiempo a todo; por eso lo que hay que buscar son vectores de ataque. Si abro un documento y veo que se lanza una línea de comandos por debajo, es sospechoso. Independientemente de las vulnerabilidades de software, nuestro análisis muestra que la mayoría de las veces los ataques se basan en unas 25 técnicas de explotación. Si estamos protegidos contra esas 25 técnicas, podemos alcanzar un buen grado de protección”.

Cuando uno piensa en las amenazas de malware basado en documentos puede acabar mareado por el vértigo. Como dice Sophos en su página web, a veces dan ganas de cortar por lo sano y pedirle a todo el mundo que solo te envíen documentos de texto simple para leer en el Bloc de notas.

“Pero si somos conscientes del problema, tenemos cuidado tanto con los documentos que abrimos desde el mail como con aquellos que descargamos de Internet, mantenemos nuestros sistemas y aplicaciones actualizados y parchados, y contamos con sistemas de protección adecuados, es posible, si no completo, al menos limitar el riesgo de infección por malware basado en Word y pdf”, concluye la empresa de seguridad informática.

Jaime Velázquez