Los ataques con macros de Office disminuyen tras las medidas de Microsoft
Los investigadores observan un descenso del 66% de los ataques en ocho meses desde que Microsoft desactivó las macros por defecto.
La decisión de Microsoft de desactivar las macros de Office por defecto ha tenido un impacto significativo en el uso de los miniprogramas por parte de los hackers, según la empresa de seguridad empresarial Proofpoint. En un blog publicado recientemente, la compañía señaló que sus investigadores han encontrado que el uso de archivos adjuntos habilitados para macros, por parte de los actores de amenazas, ha disminuido aproximadamente un 66% entre octubre de 2021 y junio de 2022.
"Hemos visto que han cambiado sus tácticas, pasando de aprovechar las macros maliciosas a otro tipo de ataques como los archivos LNK", afirma el vicepresidente de Investigación y Detección de Amenazas de Proofpoint, Sherrod DeGrippo. "Hemos observado un aumento del 1.600% en los últimos diez meses aproximadamente en torno al uso de otras tácticas, aparte de las macros maliciosas de Office. Los actores de las amenazas captaron el mensaje de que esto se avecinaba y están reprimiendo su uso de macros contra individuos y organizaciones".
Microsoft anunció su intención de bloquear las macros de Office por defecto en octubre de 2021. A principios de julio, anunció un retroceso temporal de la medida, pero la reafirmó el 20 de julio. Con el cambio, según explicó Microsoft en un blog de la compañía, los usuarios recibirán un mensaje de que la ejecución de macros está bloqueada cuando abran archivos de fuentes no identificadas como de confianza.
"La comunidad de defensores ha estado luchando contra esto durante muchos años", dice DeGrippo. "Ver que Microsoft realmente toma alguna medida en algo que ha sido un vector de amenazas masivo durante años es genial".
El movimiento de Microsoft hace que los adversarios tengan menos éxito
"Es un paso enormemente importante el que está dando Microsoft al empezar a bloquear estas macros por defecto, especialmente debido a lo invisibles que son las macros para la mayoría de los usuarios", añade Nathan Wenzler, estratega jefe de seguridad de Tenable, una empresa de análisis de vulnerabilidades. "Pero eso no significa que la amenaza esté erradicada o que no debamos seguir recordando a los usuarios que estén atentos a la hora de abrir archivos de fuentes no fiables".
Otras empresas también están viendo cómo los actores de las amenazas cambian de táctica debido al movimiento de Microsoft. "Los adversarios son conscientes de ello", observa Tim Bandos, vicepresidente ejecutivo de ciberseguridad de Xcitium, un fabricante de una suite de seguridad para endpoint. "Están probando nuevas formas de trabajar en torno a él porque está claro que no tienen tanto éxito ahora que Microsoft ha hecho este cambio".
Los usuarios de un notorio programa malicioso, conocido como Emotet, ya han empezado a cambiar de táctica, señala. "Hemos visto que recientemente han pasado de aprovechar las macros a utilizar URLs a OneDrive o Google Drive", dice.
Uno de los mayores cambios en el panorama de las amenazas del correo electrónico
Matt Chiodi, director de confianza de Cerby, fabricante de una plataforma para gestionar la TI en la sombra, afirma que hay que aplaudir a Microsoft por su acción, pero advierte que las organizaciones deben estar atentas a los adversarios que utilizan alternativas a las macros en sus ataques. "Sin duda, los atacantes pasarán de los ataques con macros VBA a las aplicaciones no manejables que actualmente están fuera del alcance de TI y de la seguridad", afirma.
Aunque la acción de Microsoft está influyendo en el alejamiento del uso de macros por parte de los actores de las amenazas, la diversificación lleva años produciéndose, asegura Brian Donohue, principal especialista en seguridad de la información de Red Canary, un proveedor de servicios de seguridad basados en la nube. "Probablemente hay una confluencia de factores que impulsan estos cambios, entre los que se incluyen el plan de Microsoft de deshabilitar las macros, el aumento del escrutinio de las macros en toda la industria y otros factores", afirma.
En su blog, Proofpoint señala que el alejamiento de los documentos con macros ha llevado a la adopción de ISO y otros formatos de archivos contenedores, así como de archivos LNK. Estos tipos de archivos, explica, pueden eludir las protecciones de bloqueo de macros de Microsoft, así como facilitar la distribución de ejecutables, que pueden dar lugar a descargas de malware, reconocimiento y robo de datos, y ransomware.
Según Proofpoint, sus investigadores evaluaron con alta confianza que este es uno de los mayores cambios en el panorama de las amenazas del correo electrónico en la historia reciente. Es probable que los actores de las amenazas continúen utilizando formatos de archivos contenedores para distribuir el malware, mientras que dependen menos de los archivos adjuntos habilitados para macros, añadió.
