Documentos corruptos de Microsoft Office y archivos ZIP se están utilizando en una campaña de phishing que evade la detección antivirus, según CUALQUIER EJECUCIÓN. Esta táctica, utilizada al menos desde agosto de 2024, implica corromper archivos intencionalmente para eludir las medidas de seguridad del correo electrónico y al mismo tiempo facilitar la recuperación de contenido malicioso.
Archivos corruptos de Microsoft Office utilizados en una nueva táctica de phishing
ANY.RUN informó que los documentos corruptos están diseñados para eludir los filtros de correo electrónico y el software antivirus, lo que permite que los correos electrónicos de phishing lleguen a los usuarios específicos. A diferencia del malware convencional, estos archivos no se marcan como sospechosos debido a su estado corrupto, lo que dificulta las capacidades de análisis. La campaña de phishing utiliza códigos QR dentro de documentos para llevar a los usuarios a páginas de inicio de sesión de cuentas de Microsoft fraudulentas, imitando la comunicación legítima sobre bonificaciones y beneficios de los empleados.
Muestras de estos documentos, analizadas por ANY.RUN, mostraron que los archivos adjuntos entregados de esta manera a menudo no arrojan indicadores maliciosos cuando se prueban con VirusTotal. Los estafadores han desarrollado documentos corruptos diseñados específicamente para evadir los filtros de contenido y al mismo tiempo mantener suficiente integridad para que Microsoft Word los recupere.
Los archivos maliciosos utilizados en esta campaña están diseñados para explotar las funcionalidades de recuperación de Microsoft Word y WinRAR. Al manipular la integridad de los archivos, los atacantes se aseguran de que cuando los usuarios abran estos documentos, las funciones de recuperación integradas hagan que los archivos sean legibles, enmascarando así sus intenciones maliciosas. Esta técnica permite efectivamente a los atacantes eludir los métodos de escaneo tradicionales en los que se basan muchos programas de seguridad.
Las investigaciones han identificado esto como un potencial exploit de día cero, lo que demuestra una comprensión sofisticada de la mecánica del software por parte de los actores de amenazas. El objetivo sigue siendo claro: se engaña a los usuarios para que abran estos archivos corruptos, lo que lleva a la activación de códigos QR incrustados que los redireccionan a sitios web falsos diseñados para recopilar credenciales o distribuir malware.
Los expertos en seguridad destacan la importancia de concienciar a los usuarios ante intentos de phishing cada vez más complejos. Grimes enfatizó la necesidad de capacitación en concientización sobre seguridad en las organizaciones, especialmente cuando las comunicaciones específicas de roles, como las bonificaciones a los empleados, sirven como cebo para esquemas de phishing. «No querrás que los verdaderos estafadores sean los únicos que hagan phishing a tus compañeros de trabajo de esta manera», afirmó.
Las medidas activas para combatir estas amenazas incluyen mejorar las capacidades de filtrado de correo electrónico para detectar patrones de corrupción de archivos o contenido sospechoso que pueden no activar las alertas de seguridad tradicionales. En los últimos años, se han implementado estrategias como el bloqueo de macros en documentos de Microsoft Office para mitigar los riesgos de métodos similares de explotación de archivos. La continua evolución de las tácticas de phishing, como la incorporación de enlaces maliciosos en códigos QR, requiere estrategias de adaptación tanto por parte de los profesionales como de las organizaciones de ciberseguridad.
La creciente prevalencia del phishing con códigos QR, también conocido como “quishing”, añade otra capa de complicación, ya que muchos usuarios desconocen los riesgos asociados con el escaneo de códigos. Las soluciones de ciberseguridad se están equipando con medidas mejoradas de detección de códigos QR, pero la sofisticación de las amenazas significa que las vulnerabilidades potenciales persisten.
Crédito de la imagen destacada: Sasun Bughdaryan/Unsplash
