Más de 200 archivos de Excel maliciosos están distribuyendo malware a usuarios víctimas de correo electrónico phishing.
Los documentos de Excel, conocidos como “maldocs”, han llamado la atención por la técnica que los ciberdelincuentes utilizan para crear libros de trabajo de Excel cargados de macros, sin utilizar Microsoft Office, con baja tasa de detección y en consecuencia, mayor probabilidad para eludir los sistemas de seguridad.
Este comportamiento fue descubierto por los expertos de seguridad de NVISO, quienes inclusive han identificado como Epic Manchego a los ciberdelincuentes detrás de la amenaza del malware, que desde junio están enviando correo electrónico phishing, con un documento de Excel malicioso, a los usuarios de todo el mundo para convertirlos en víctimas del malware.
Lo curioso es que el documento de Excel malicioso no es una hoja de cálculo estándar de Excel; es decir, no se compiló en el software estándar de Microsoft Office. La compilación fue hecha con una biblioteca .NET llamada EPPlus, que ocasiona que el documento malicioso no sea detectado, ya que difiere de un documento típico de Excel. La biblioteca EPPlus es comúnmente usada por los desarrolladores de aplicaciones para agregar las funciones “Exportar como Excel” o “Guardar como hoja de cálculo”, compatibles inclusive con Excel 2019.
El usuario que abre el archivo de Excel malicioso ocasiona que se ejecuten las macros contenidas para descargar e instalar malware en el sistema, robando contraseñas de los navegadores, correos electrónicos, y clientes FTP.
Es recomendable que el usuario filtre los archivos adjuntos de correo electrónico y los correos electrónicos que recibe. Las empresas además deben considerar la implementación de defensas robustas de detección y respuesta de endpoints; así como entrenamientos de concientización sobre phishing y realización de ejercicios de phishing.