Parece Word: Cómo te hackean con un simple documento

Los piratas suelen utilizar otros formatos de archivo para llevar a cabo sus ataques. Por ejemplo, los más comunes son PDF o Archivos ejecutables .BAT o .EXE. Por ello, resulta aún más extraño encontrar una campaña enfocada 100% al formato ODT. El formato .ODT es Formato de archivo de texto OpenDocument. En términos generales, es el equivalente abierto de Word DOCX. Este formato no solo se usa en LibreOffice y OpenOffice, sino que todos los procesadores de texto, incluido Word, pueden abrirlo. Y así el usuario se revela automáticamente.

Tras un exhaustivo análisis, se detectaron muestras de este malware en la red desde principios de junio de 2022, pero no fue hasta principios de julio cuando se subió una copia a VirusTotal. Para realizar este ataque, el documento apunta a varios objetos alojados en servidores remotos, pero lo hace sin usar macros . Evita así todas las medidas de seguridad del sistema y antivirus y dificulta mucho la detección de la amenaza.

En lugar de utilizar un sistema de macros típico, se dirige a más de 20 objetos OLE vinculados de forma remota cuando se abre un documento malicioso. El usuario debe seleccionar sí si desea descargar estos objetos para (teóricamente) actualizar el contenido del documento. Si los descargamos, se descargará en nuestro ordenador y se ejecutarán varios archivos. Uno de estos archivos es una hoja de Excel con macros ocultas. Y este es el que acaba desencadenando la infección cuando se ejecuta la macro: instala el troyano AsyncRAT en la PC .

Infección AsyncRAT

evitar la infección

Como podemos ver, desde el documento ODT inicial hasta que se lanza la infección en el sistema, el proceso es bastante complejo, lo que demuestra que los piratas informáticos han hecho todo lo posible para evitar revelar su malware. Y para asegurar la reinfección, es muy agresivo. propiedades de persistencia.

El método de infección utilizado es muy clásico: correo electrónico de phishing con ODT adjunto . Dado que se trata de un documento inofensivo, ni GMAIL ni los antivirus lo detectan como una amenaza. Pero en el momento en que lo hacemos, estamos condenados. Y da igual que lo abramos con Office Word, LibreOffice Writer u otro programa.

Si recibimos este archivo por correo y lo ejecutamos en nuestra PC, lo más probable es que estemos infectados. y en ese caso necesitamos escanear nuestra PC con un buen antivirus actualizado para detectar y bloquear la amenaza. Y también mucho cuidado con la persistencia, porque en este caso es muy agresivo.

Leave a Reply

Your email address will not be published. Required fields are marked *

*