El malware basado en macros sigue haciendo de las suyas. Los ciberdelincuentes están utilizando macros incrustadas principalmente en archivos Word de Microsoft Office para infectar a los equipos con malware.
La macro es código hecho con VBA, el lenguaje de Visual Basic integrado en aplicaciones de Microsoft Office, como Word y Excel, y es utilizada para ejecutar tareas repetitivas. Como puede ejecutarse de forma automática al abrir el documento, los desarrolladores de malware están aprovechando el código de macros para infectar de malware, incluyendo el ransomware, a los computadores. En 2014 se supo del regreso de la macro para propagar malware.
De forma predeterminada las macros están inhabilitadas en los documentos de Office y se requiere la intervención del usuario para activarlas. El usuario puede ser engañado para habilitar el uso de macros ocasionando la entrada del malware y sus actividades maliciosas. Mediante correo spam y técnicas de ingeniería social los ciberdelincuentes envían mensajes de atención con archivos adjuntos que requieren ser abiertos bajo la condición de habilitar las macros para leer el contenido del archivo. Al hacerlo el usuario desencadena sin darse cuenta una serie de acciones programadas en el código macro malicioso para la descarga de malware y la infección del equipo para actividades ilícitas, como el robo de identidad, de datos financieros, o el secuestro del equipo. De ser ransomware el usuario víctima se dará cuenta hasta la aparición de la ventana de exigencia del pago de dinero por el rescate de los archivos.
El CERT de los EEUU se ha referido al resurgimiento de malware que se propaga a través de macros de Microsoft Word, lo que para los cibercriminales es mucho mejor que averiguar qué vulnerabilidades de software explotar.
Es recomendable desactivar las macros en todas las aplicaciones de Office. Evitar habilitarlas en archivos desconocidos o de dudosa procedencia. Los administradores de sistemas pueden aplicar la desactivación mediante políticas de grupo o GPO. En caso de ser requerida la funcionalidad de macro para abrir el documento que la contiene entonces es conveniente utilizar macros firmadas y verificar con el remitente, así como alojar el archivo en una ubicación de confianza configurada en Microsoft Office.
Es importante siempre tener cuenta que no importa tener el sistema y las aplicaciones totalmente parchados si la puerta de entrada del malware puede ser por la macro.