En un mundo donde la tecnología avanza a pasos agigantados, los ciberataques y las vulnerabilidades en el software son preocupaciones constantes. Recientemente, un informe ha revelado que hackers están explotando vulnerabilidades antiguas en Microsoft Excel, un programa ampliamente utilizado tanto en ambientes empresariales como personales.
¿Qué está pasando con Microsoft Excel?
Los atacantes están aprovechando una antigua vulnerabilidad de Microsoft Office en sus campañas de phishing para distribuir una cepa de malware conocida como Agent Tesla.
Estas cadenas de infección utilizan documentos de Excel falsos adjuntos a mensajes de factura para engañar a posibles víctimas y hacer que los abran, lo que activa la explotación de una vulnerabilidad de corrupción de memoria en el Editor de ecuaciones de Office conocida como CVE-2017-11882 (con un puntaje CVSS de 7,8). Esta vulnerabilidad podría llevar a la ejecución de código con los privilegios del usuario.
Los hallazgos provienen de informes anteriores que describieron una campaña de phishing similar que se valió de esta vulnerabilidad para distribuir el malware. Una vez que un usuario descarga un archivo adjunto malicioso y lo abre, si su versión de Microsoft Excel es vulnerable, el archivo Excel establece comunicación con un servidor malicioso y procede a descargar archivos adicionales sin necesidad de interacción adicional del usuario, según el investigador de seguridad Kaivalya Khursale.
La primera carga útil es un script de Visual Basic ofuscado que inicia la descarga de un archivo JPG malicioso, el cual contiene un archivo DLL codificado en Base64. Esta táctica de evasión esteganográfica también fue detallada por McAfee Labs en septiembre de 2023.
Después, la DLL oculta se inyecta en RegAsm.exe, una herramienta de registro de ensamblaje de Windows, para iniciar la carga útil final. Es importante destacar que en el pasado, se ha utilizado este ejecutable para cargar Quasar RAT.
Podría interesarte: Quasar RAT: Malware con Carga de DLLs
Agent Tesla es un registrador de teclas avanzado y un troyano de acceso remoto (RAT) basado en .NET, diseñado para recopilar información confidencial de las computadoras comprometidas. Luego, el malware se comunica con un servidor remoto para transmitir los datos recopilados.
"Los actores de amenazas están en constante adaptación de sus métodos de infección, por lo que es fundamental que las organizaciones se mantengan al tanto de la evolución de las amenazas cibernéticas para proteger su entorno digital", advierte Khursale.
Estos eventos tienen lugar cuando vulnerabilidades antiguas se convierten en objetivos de ataque para los ciberdelincuentes. Recientemente, se reveló que el grupo "8220 Gang" está aprovechando una vulnerabilidad de tres años en Oracle WebLogic Server (CVE-2020-14883, con una puntuación CVSS de 7.2) para distribuir mineros de criptomonedas.
Además, se ha observado un aumento en la actividad del malware DarkGate desde que comenzó a promocionarse a principios de este año como un servicio de malware (MaaS) y como un reemplazo de QakBot tras su eliminación en agosto de 2023.
"El sector tecnológico es el más afectado por las campañas de ataque de DarkGate", según informes de telemetría de clientes. "La mayoría de los dominios de DarkGate tienen entre 50 y 60 días, lo que podría indicar un enfoque deliberado en la creación y rotación de dominios en intervalos específicos".
También se han descubierto campañas de phishing dirigidas al sector hotelero con mensajes de correo electrónico relacionados con reservas para distribuir malware de robo de información, como RedLine Stealer o Vidar Stealer.
"Inicialmente, se comunican con el objetivo a través de un correo electrónico que contiene solo texto, pero con un tema que podría interesar a una empresa orientada a servicios, como un hotel, y que probablemente motive una respuesta rápida", explicaron los investigadores Andrew Brandt y Sean Gallagher.
"Después de que el objetivo responde al correo electrónico inicial del actor de la amenaza, este envía un mensaje de seguimiento que vincula lo que afirma ser detalles sobre su solicitud o queja".
A pesar de los ladrones y troyanos, los ataques de phishing también han adoptado la forma de correos electrónicos falsos relacionados con la "infracción de derechos de autor" de Instagram, destinados a robar los códigos de respaldo de autenticación de dos factores (2FA) de los usuarios a través de sitios web fraudulentos. Esto se conoce como un esquema Insta-Phish-A-Gram.
"Los datos que los atacantes obtienen de este tipo de ataque de phishing pueden venderse en el mercado negro o utilizarse para tomar el control de la cuenta", señaló la firma de ciberseguridad.
Podría interesarte leer: Detección de Ataques de Phishing con Wazuh
Conclusión
La explotación de vulnerabilidades antiguas en MS Excel es un recordatorio de que la seguridad informática es un proceso continuo. Mantenerse informado, aplicar actualizaciones de seguridad, capacitar a los trabajadores en mejores prácticas de seguridad, y utilizar herramientas de protección adecuadas son pasos esenciales para protegerse contra estas amenazas.
Como usuarios individuales y organizaciones, debemos ser proactivos en nuestra aproximación a la seguridad informática. Al comprender los riesgos y tomar medidas preventivas, podemos asegurarnos de que nuestros datos y sistemas permanezcan seguros en un mundo digital cada vez más conectado.