El correo electrónico vuelve a ser la herramienta preferida de los cibercriminales para llevar a cabo una campaña de ciberataques cuya presa son varias organizaciones de España y Portugal. Se trata de emails que llevan un adjunto que se supone es un documento con un presupuesto para llevar a cabo servicios, pero como bien lo informa ESET de España, quien descubrió esta campaña de ciberataques, no es otra cosa que ficheros infectados.
De acuerdo a la empresa de seguridad informática, los correos que analizaron suplantan al remitente con viejas técnicas conocidas como spoofing, aunque los investigadores de ESET no descartan que algunos correos electrónicos hayan sido enviados a través de los mismos servidores de correo de las empresas suplantadas (remitentes), si es que los cibercriminales previamente lograron tomar el control de esos servidores.
Normalmente estas campañas tienen una característica que es una de las primeros errores que hace que los investigadores analicen más profundamente los emails, esa característica es que muchos de los emails utilizados en estas campañas tienen alguna falta de ortografía o gramática, esta ESET resalta que una de las características más importantes de este ataque es que los correos están escritos perfectamente en un correcto castellano y parecen se remitidos por empresas legítimas, lo que produce que los que reciben los emails se confíen y comentan el error de descargar y abrir los ficheros infectados que vienen adjuntos al email.
Los formatos utilizados en los ficheros adjuntos son: .doc, .xls y .rtf. Estos ficheros adjuntos tienen otra característica importante con respecto a otros usados en otras campañas. Microsoft Office no permite la ejecución automática para evitar que documentos con código malicioso se ejecute con solo abrir el documento, como por ejemplo sucedería cuando dan doble clic a una hoja de cálculo con código malicioso, automáticamente este se ejecutaría. En el caso de este ataque, el usuario debe de activar manualmente la opción para ejecutar el código y lo hacen atraídos por mensajes de los ciberdelincuentes que invitan a hacerlo.
Cuando todo lo anterior sucede, el fichero infectado incluye código que se aprovecha de la vulnerabilidad de Microsoft Office denominada CVE-2017-11882, publicada de Noviembre del 2017.
De acuerdo a Josep Albors, responsable de investigación en ESET España,
Aun en pleno 2018 sigue existiendo la creencia entre muchos usuarios de que los ficheros Word o Excel no representan un peligro para sus sistemas, a pesar de haber sido utilizados en todo tipo de ataques desde hace más de 20 años.
La recomendación en estos casos para las personas que reciben este tipo de emails, por más que parezca venir de una empresa verdadera es no tener el impulso de abrir el documento y menos de activar la opción que permite ejecutar código en Office. Si no tienen experiencia, lo mejor es dejar que los encargados de seguridad IT se aseguren y por supuesto siempre tener una solución de seguridad que proteja de estas amenazas como bien lo hace la solución ofrecida por esta empresa.