Investigadores de seguridad han advertido un nuevo ataque de día cero que consiste en enviar archivos corruptos a través de correo electrónico y aprovecharse de la función de recuperación de archivos de Word de Microsoft para evitar ser detectados por antivirus y otras soluciones de ‘software’.

Cuando este programa de ofimática detecta que un archivo con contenido ilegible, pregunta al usuario si desea recuperar el documento o no. Así, ofrece la opción ‘Sí’, y apunta que solo se debe pulsar sobre él si esa persona “confía en la fuente de ese documento”.

La táctica novedosa de los ciberdelincuentes consiste en modificar archivos de Word. | Foto: Getty Images

El nuevo truco de los ciberdelincuentes para evitar la detección de antivirus en Microsoft Word

Estos documentos, que llegan a las víctimas a través de correo electrónico malicioso como parte de una campaña de ‘phishing’ recientemente detectada por el equipo de seguridad de Any.Run incluyen un código QR que el usuario debe escanear para recuperar el presunto documento.

Al hacerlo, se les redirige a una interfaz que simula ser el inicio de sesión de Microsoft. Los ciberdelincuentes se apropian de las credenciales de usuario una vez la víctima los indiqué en los campos de texto de nombre y contraseña como parte de su ataque ‘zero day’ (día cero).

Los expertos de Any.Run han señalado que, aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no pueden analizarlos de la forma correcta, tal y como han comprobado con diferentes antivirus. En la mayoría de los casos, se devolvió el documento como “limpio” o “elemento no encontrado”.

“Las soluciones de seguridad intentan extraer su contenido asumiendo que necesitan escanear los archivos dentro, y pasan por alto el archivo en sí. Como el sistema de extracción [de contenido malicioso] no encuentra ningún fichero dentro del documento, se niega a guardarlo. Como resultado, el proceso de escaneo nunca comienza”, han matizado los investigadores en su perfil de X.

Los archivos corruptos no son detectados por la mayoría de los antivirus. | Foto: © 2021 SOPA Images

De ese modo, y a pesar de ser un archivo modificado deliberadamente por los ciberdelincuentes, permanece indetectable para las soluciones de seguridad, pero las aplicaciones del usuario lo manejan sin problemas debido a los mecanismos de recuperación integrados que explotan los atacantes.

Esto sugiere que aunque el objetivo final de este ataque de ‘phishing’ no es nuevo, el uso de documentos de Word fraudulentos se configura como una táctica novedosa empleada por los ciberdelincuentes para evitar la detección, tal y como señala BleepingComputer.

Los expertos han apuntado finalmente que, con base en sus investigaciones, este ataque malicioso ha estado activo durante varios meses y que los primeros casos se remontan al pasado mes de agosto.

*Con información de Europa Press