Cada día se envían millones de mensajes de spam y, aunque la mayoría son publicidad inofensiva, de vez en cuando aparece un archivo malicioso en uno de los mensajes.
Para que el destinatario pique y abra el archivo, los ciberdelincuentes lo hacen pasar por algo que resulte interesante, útil o importante: un documento de trabajo, una buena oferta, una tarjeta de regalo con el logo de una empresa conocida, etc.
Los distribuidores de malware tienen sus formatos preferidos y en esta publicación vamos a recopilar los archivos con malware oculto más utilizados este año.
1. Los archivos ZIP y RAR
A los ciberdelincuentes les encanta ocultar malware en archivos. Por ejemplo, unos atacantes utilizaron archivos ZIP con el nombre de Love_You0891 (los números pueden variar) para distribuir el ransomware GandCrab la víspera de San Valentín. Un par de semanas después, un grupo de estafadores envió archivos con el troyano Qbot especializado en el robo de datos.
Este año también pudimos presenciar el descubrimiento de una función muy interesante en WinRAR. Por lo visto, durante la creación de un archivo se pueden establecer una serie de órdenes para que el contenido se descomprima en la carpeta del sistema. Es decir, los archivos podrían ir a parar a la carpeta de inicio, por lo que se ejecutarían en el siguiente reinicio. Ante esto, recomendamos a todos los usuarios de WinRAR que actualicen el programa de inmediato para solucionarlo.
2. Documentos de Microsoft Office
Los archivos de Microsoft Office, sobre todos los documentos de Word (DOC, DOCX), las hojas de cálculo de Excel (XLS, XLSX, XLSM), presentaciones y plantillas también son muy populares entre los ciberdelincuentes. Estos archivos pueden contener macros integradas, pequeños programas que se ejecutan dentro del archivo y que utilizan los ciberdelincuentes como scripts para descargar malware.
Normalmente, estos archivos van dirigidos a empleados de oficina. Los disfrazan de contratos, facturas, notificaciones de impuestos y mensajes del equipo directivo. Por ejemplo, un troyano bancario con el nombre Ursnif infectó muchos dispositivos de usuarios italianos bajo la apariencia de una notificación de pago. Si la víctima abría el archivo y aceptaba activar la macro (deshabilitada por defecto por razones de seguridad), se descargaba un troyano en el ordenador.
3. Archivos PDF
Muchos usuarios conocen los peligros de las macros en los documentos de Microsoft Office, pero no suelen conocer las trampas ocultas en los archivos PDF y, sí, los PDF pueden ocultar malware, de hecho, este formato se puede utilizar para crear y ejecutar archivos JavaScript.
Además, a los ciberdelincuentes les gusta ocultar enlaces en documentos PDF. Por ejemplo, en una campaña de spam, los estafadores animaban a los usuarios a visitar una página “segura” en la cual tenían que iniciar sesión en su cuenta de American Express. Evidentemente, sus credenciales iban directamente a los estafadores.
4. Imágenes de disco IMG e ISO
En comparación con los anteriores formatos, los archivos IMG e ISO no se utilizan con mucha frecuencia, aunque últimamente los ciberdelincuentes han centrado su atención en ellos. Estos archivos (imágenes de disco) son básicamente una copia virtual de un CD, DVD u otro tipo de disco.
Los atacantes utilizaban una imagen de disco para enviar el malware a los ordenadores de las víctimas, este es el caso del troyano Agent Tesla que robaba credenciales. Dentro de la imagen había un archivo ejecutable malicioso que, una vez montado, activaba e instalaba spyware en el dispositivo. En algunos casos los ciberdelincuentes utilizaban dos archivos adjuntos (un ISO y un DOC) para asegurar la infección.
Cómo gestionar los archivos adjuntos potencialmente peligrosos
No hace falta que envíes todos los mensajes con adjuntos o documentos DOCX/PDF a la carpeta de spam para evitar a los estafadores, en su lugar, recuerda estas simples normas:
- No abras correos electrónicos sospechosos de direcciones desconocidas. Si no sabes por qué un mensaje con un tema en particular ha acabado en tu buzón de entrada, seguramente no lo necesites.
- Si por motivos de trabajo tienes que tratar con desconocidos, comprueba minuciosamente la dirección del remitente y el nombre del archivo adjunto. Si algo te resulta extraño, no lo abras.
- No permitas que se ejecuten macros en documentos que lleguen por correo electrónico, a no ser que sea inevitable.
- Ten cuidado con los enlaces que aparecen en los archivos. Si no explican por qué tienes que acceder al enlace, ignóralo. Si lo ves necesario, introduce manualmente la dirección del sitio web en tu navegador.
- Utiliza una solución de seguridad de confianza que te alerte de los archivos peligrosos y los bloquee y que te advierta cuando intentes abrir un sitio sospechoso.