Tras la desaparición de las macros en Microsoft Office (se abre en una pestaña nueva) archivos, parece que otro método alternativo está ganando popularidad, según nuevos informes.
Los investigadores de ciberseguridad de Deep Instinct han descubierto un aumento en el uso de Microsoft Visual Studio Tools para Office (VSTO) entre los ciberdelincuentes, ya que crean complementos de Office maliciosos que les ayudan a lograr la persistencia y ejecutar código malicioso en los puntos finales de destino.
Lo que están haciendo los piratas informáticos aquí es crear malware basado en .NET (se abre en una pestaña nueva)y luego incrustarlo en un complemento de Office, una práctica que requiere que el actor de amenazas sea un poco más hábil.
Pasar por alto el antivirus
El método no es nuevo, pero no era tan popular mientras dominaban las macros de Office. Ahora que Microsoft eliminó efectivamente esa amenaza, las amenazas creadas por VSTO están surgiendo en mayor número. Estos complementos pueden enviarse junto con documentos de Office o alojarse en otro lugar y activarse mediante un documento de Office enviado por los atacantes.
En otras palabras, la víctima aún necesita descargar y ejecutar un archivo de Office y el complemento para infectarse, por lo que el phishing seguirá desempeñando un papel importante. Dicho esto, el vector de ataque sigue siendo bastante peligroso, ya que es capaz de trabajar con éxito con los programas antivirus y otros servicios de protección contra malware. De hecho, Deep Instinct pudo crear una prueba de concepto (PoC) funcional que entregó la carga útil de Meterpreter al punto final. El video de demostración del PoC se puede encontrar en este enlace (se abre en una pestaña nueva). Los investigadores dijeron que se vieron obligados a desactivar Microsoft Windows Defender solo para registrar el proceso.
Meterpreter, un producto de seguridad utilizado para las pruebas de penetración, fue fácil de detectar para los productos antivirus, sin embargo, no se detectaron todos los elementos del PoC, dijeron.
En conclusión, los investigadores esperan que la cantidad de ataques creados por VSTO siga aumentando. También esperan que los estados-nación y otros actores de “alto calibre” también adopten la práctica.
Vía: BleepingComputer (se abre en una pestaña nueva)