Los investigadores del Centro de Protección contra el Malware de Microsoft están advirtiendo a los usuarios de un nuevo truco de macro de alto riesgo utilizado por los hackers para activar los programas de rescate. La macro maliciosa apunta a aplicaciones de Office y es un archivo de Word que contiene siete módulos VBA muy hábilmente ocultos y un formulario de usuario VBA.
Cuando los investigadores comprobaron por primera vez la macro maliciosa, no pudieron detectarla, ya que los módulos VBA parecían programas SQL legítimos impulsados por una macro. Después de una segunda mirada, se dieron cuenta de que la macro era en realidad un código malicioso que incorporaba una cadena encriptada.
Sin embargo, no hubo una identificación inmediata y obvia de que este archivo fuera realmente malicioso. Es un archivo Word que contiene siete módulos VBA y un formulario de usuario VBA con unos pocos botones (usando los elementos CommandButton ). Sin embargo, después de una investigación más profunda notamos una cadena extraña en el campo Caption para CommandButton3 en el formulario de usuario.
Volvimos y revisamos los otros módulos en el archivo, y con seguridad – hay algo inusual en Module2 . Una macro allí ( UsariosConectados ) desencripta la cadena en el campo Caption para CommandButton3 , que resulta ser una URL. Utiliza la macro deault autoopen() para ejecutar todo el proyecto VBA cuando se abre el documento.
La macro se conecta a la URL ( hxxp://clickcomunicacion.es/) para descargar una carga útil detectada como Ransom:Win32/Locky (SHA1: b91daa9b78720acb2f00808048f5844d8f1649f1649a5c4). Se activa cuando los usuarios habilitan macros en los archivos de Office.
La única forma de evitar que su equipo se infecte con virus a través de malware basado en macros con objetivos de oficina es habilitar las macros sólo si las ha escrito usted mismo o si confía plenamente en la persona que las ha escrito. También puede instalar la herramienta AntiRansomware de BitDefender, una herramienta independiente, que no requiere que se instale la seguridad de Bitdefender. A diferencia de otras herramientas de seguridad gratuitas, BDAntiRansomware no le molesta con anuncios.
Si alguna vez se convierte en el blanco de un ataque de rescate, puede utilizar esta herramienta, ID Ransomware, para identificar el software de rescate que encriptó sus datos.Todo lo que tienes que hacer es subir un archivo infestado o el mensaje que el malware está mostrando en tu pantalla. ID Ransomware puede detectar actualmente 55 tipos de ransomware pero no ofrece ningún servicio de recuperación de archivos.