Cómo proteger su información confidencial del malware en documentos de Word

Si su empresa utiliza tecnología de escaneo de correo electrónico como primera línea de defensa cibernética, debería saber acerca de una reciente serie de ataques maliciosos basados ​​en documentos de Word.

Estos ataques están diseñados para enviar malware y ransomware a sistemas específicos.

Los investigadores de seguridad de Cisco Talos  identificaron recientemente  un ataque en el que se utilizaron archivos de documentos de Word adjuntos a correos electrónicos para enviar Cobalt Strike Beacon a sistemas desprevenidos.

Una vez allí, los piratas informáticos podían vender el acceso a Beacon en la Dark Web a cualquier actor de amenazas que quisiera entrar de inmediato al sistema comprometido. Por lo tanto, si cree que solo los correos electrónicos «seguros» (con archivos adjuntos «seguros») pueden llegar a su bandeja de entrada, piénselo de nuevo.

Con el creciente número de ataques a documentos de Word, la necesidad de estar alerta ante los archivos adjuntos nunca ha sido mayor. Es imperativo que lo piense dos veces antes de descargar automáticamente el próximo documento de Word.

¿Cómo pueden los archivos de Word proporcionarme malware?

En 2007, Microsoft introdujo nuevos  formatos de archivo  para Word, Excel y PowerPoint, que terminan en .docx, .xlsx, etc. Esta actualización utiliza el formato de archivo Office Open XML y permite incorporar recursos dentro de un documento.

Lamentablemente, este cambio también generó el riesgo de que los actores de amenazas inyectaran código malicioso en un archivo basado en XML. Como resultado, los piratas informáticos ahora pueden aprovechar los archivos de documentos basados ​​en XML para distribuir malware o ransomware.

Los documentos con formato RTF también plantean el mismo peligro. Un archivo de Word que contiene macros (que normalmente utilizan la extensión .docm) puede cambiar su extensión a .RTF y mantener intactas sus macros.

Al abrir estos archivos disfrazados, se validan y se ejecutan como cualquier archivo .docx mientras descargan código malicioso a su red.

Número creciente de ataques basados ​​en documentos

En una variante del ataque descubierto por  Cisco Talos , los documentos de Word maliciosos utilizaban múltiples capas de codificación y lenguajes de programación para ocultar la entrega de la descarga de Cobalt Strike Beacon. Una vez que la carga útil de Beacon se encuentra en el sistema de destino, la organización queda vulnerable a futuros ataques.

Otro ataque  descubierto  en 2022, llamado «Follina», utiliza un archivo de Word malicioso para atacar una utilidad de Windows destinada a ejecutar paquetes de solución de problemas en Windows. El endpoint atacado luego llama a un archivo HTML malicioso desde una URL externa.

El ataque de Follina permite al hacker explotar los privilegios del sistema del usuario para instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas.

Este ataque también se conoce como «técnica de inyección de plantillas». Debido a que el archivo utilizado como arma no contiene ningún factor sospechoso, como macros o marcadores de explotación reconocibles, la amenaza puede pasar desapercibida, incluso cuando intenta descargar una plantilla maliciosa.

Entre estos ataques ocurridos en los últimos meses se incluyen:

• Una campaña de phishing de alto perfil de agosto de 2022  dirigida al Ministerio de Defensa de Pakistán
• Un ataque de julio de 2022  detectado por PwC que intentó obtener y ejecutar una macro maliciosa, y
• Cisco descubrió un incidente de septiembre de 2022 en el que archivos de Word modificados estaban dirigidos a agencias gubernamentales ucranianas .

Señales a tener en cuenta en ataques basados ​​en documentos

Confíe en sus instintos cuando reciba un correo electrónico que le parezca extraño. Concéntrese en estas cinco áreas para determinar si los estafadores lo están atacando y si debe confiar en un archivo adjunto.

1. Remitente Aunque el nombre del remitente le resulte familiar, compruebe la dirección de correo electrónico con atención para confirmar que el mensaje proviene de esa persona. Busque caracteres transpuestos o direcciones de correo electrónico que parezcan casi correctas, como un dominio .co en lugar de un dominio .com.
2. Saludo Observa detenidamente el saludo: ¿es personalizado o genérico? Si parece genérico, como «Estimado cliente», «Estimado cliente» o «Estimado cliente valioso», en lugar de tu nombre, tómate un segundo o dos para pensar antes de hacer clic.
3. Los estafadores de contenido intentan crear una sensación de urgencia para que actúes en lugar de pensar (por ejemplo, «tu cuenta será bloqueada»). ¿Errores de gramática y ortografía? Ninguna organización legítima permitiría que se les escaparan esos errores. Los estafadores también te pedirán información personal o financiera. Te pedirán que actualices tu cuenta o cambies tu contraseña.
4. Información de contacto Las organizaciones legítimas quieren que te pongas en contacto con ellas si es necesario. Muestran su información de contacto en su correo electrónico para que puedas llamarlas y verificar que son quienes dicen ser. Los estafadores no quieren que te pongas en contacto con ellas, por lo que no incluyen información de contacto.
5. Adjunto Si no espera recibir ningún documento del remitente, tenga cuidado al abrir un archivo adjunto al azar. Cuando abre un archivo adjunto de un estafador, abre la puerta al malware. El malware puede causar estragos en su computadora o en toda la red de su organización.

Cómo la capacitación en concientización sobre seguridad puede protegerlo

Cuanto más conocimiento y contexto del mundo real tengan los empleados, más fácil será identificar correos electrónicos, archivos adjuntos y otras tácticas de ingeniería social utilizadas para robar información confidencial. Para ayudar a prevenir el whaling, Terranova Security recomienda tomar las siguientes precauciones:

1. Eduque a su equipo sobre el phishing. Aproveche las herramientas gratuitas de simulación de phishing para educar e identificar los riesgos de phishing. Se sorprenderán de lo fácil que es engañarlos para que proporcionen información confidencial.
2. Utilice plataformas de simulación de phishing y capacitación en concientización sobre seguridad comprobadas para mantener a los empleados en la mira de los riesgos de phishing e ingeniería social. Cree héroes de seguridad cibernética internos comprometidos con mantener su organización cibersegura.
3. Recuerde a sus líderes de seguridad y héroes de la ciberseguridad que controlen periódicamente la conciencia de los empleados sobre el phishing con herramientas de simulación de phishing. Aproveche los módulos de microaprendizaje sobre phishing para educar, capacitar y cambiar el comportamiento.
4. Proporcionar comunicaciones y campañas constantes sobre ciberseguridad y phishing. Estas iniciativas incluyen establecer políticas de contraseñas seguras y recordar a los empleados los riesgos que pueden presentarse en formato de archivos adjuntos, correos electrónicos y URL.
5. Establezca reglas de acceso a la red que limiten el uso de dispositivos personales y el intercambio de información fuera de su red corporativa.
6. Asegúrese de que todas las aplicaciones, sistemas operativos, herramientas de red y software interno estén actualizados y sean seguros. Instale protección contra malware y software antispam.
7. Incorpore campañas de concientización , capacitación, apoyo y educación sobre seguridad cibernética a su cultura corporativa.

Defiende tu organización contra el phishing

El hecho de que utilice el análisis de correo electrónico no significa que pueda confiar en que todos los mensajes de correo electrónico o archivos adjuntos que recibe en su bandeja de entrada sean seguros. La creciente amenaza del malware distribuido por los documentos de Word exige estar alerta. La buena noticia es que con una formación adecuada en materia de concienciación sobre seguridad, puede ayudar a garantizar que su personal siga siendo su primera línea de defensa natural contra los ataques cibernéticos.