Microsoft Office, uno de los programas de productividad más antiguos utilizados tanto en empresas como por particulares, ha sido blanco de ciberdelincuentes durante varias décadas. Pero, informes recientes sugieren que los hackers ahora están priorizando esto sobre otros vectores de ataque, como los PDF.
Microsoft Office en el objetivo
El reciente Informe de amenazas cibernéticas 2020 de SonicWall proporciona varias ideas sobre las tendencias recientes de ataques cibernéticos y, según eso, Microsoft Office parece estar presenciando un cambio dramático en las prioridades del atacante.
- En el primer semestre de 2019, el uso de archivos PDF (36,488 casos) superó al de los documentos de Office (25,461 casos). Pero en el primer semestre de 2020, los atacantes prefirieron Microsoft Office (22.4% de todos los tipos de archivos maliciosos) como mecanismo de entrega de malware sobre PDF con un 10.7% de participación.
- Según el informe, las vulnerabilidades más explotadas son CVE-2017-11882 y CVE-2018-0802, que se encuentran en el Editor de ecuaciones, que está disponible en todas las versiones de Microsoft Word desde Office 2007.
- En los últimos días, se vio a los operadores de ZLoader haciendo mejoras en el mecanismo de entrega de documentos de MS Excel, incluidas nuevas técnicas para evitar la detección por parte de los motores antimalware basados en firmas, y obstaculizando los procedimientos de depuración y análisis en el entorno limitado.
La vulnerabilidad del editor de ecuaciones
El CVE-2017-11882 es una vulnerabilidad de corrupción de memoria en Equation Editor, que ha sido utilizada activamente por varios hackers en los últimos meses.
- En mayo de 2020, se detectó un nuevo marco de ciberespionaje llamado Ramsay, diseñado para la recopilación y exfiltración de documentos confidenciales mediante la explotación de CVE-2017-0199 y CVE-2017-11882.
- En abril de 2020, se vio a algunos actores de amenazas apuntando a los usuarios con un nuevo correo electrónico de spearphishing diseñado para difundir el troyano LokiBot, enviado utilizando la marca registrada de la OMS como señuelo. Los hackers explotaron la vulnerabilidad CVE-2017-11882 en los dispositivos de destino.
Conclusión
El informe sugiere que la cantidad de archivos maliciosos (tanto PDF como archivos de Office) se ha reducido un poco en el segundo trimestre de 2020, en comparación con el primer trimestre. Pero las noticias sobre los preparadores de ZLoader que hacen mejoras en los mecanismos de entrega relacionados con Office sugieren que no planean dejar de usar estos vectores de ataque en el corto plazo.