macrovirus

El malware de macro de Microsoft Word afecta tanto a Mac como a Windows

[banner]…[/banner]

Se ha encontrado malware distribuido en documentos de Word con macros. Nada particularmente peligroso pero la peculiaridad es que los creadores han previsto el comportamiento a adoptar en función del sistema operativo en el que se ejecuta la aplicación de Microsoft. El malware, que se encuentra en un archivo .DOC (Word) de FortiGuard Labs, incrusta una macro en Visual Basic para Aplicaciones (VBA) que Word intenta abrir automáticamente cuando se abre el archivo. Si el usuario ha desactivado la activación automática de macros en Office, se muestra una imagen dentro del documento que intenta convencer al usuario de que descargue el documento con las macros habilitadas.

Al ejecutar la macro, Appleinsider explica, lee, decodifica y ejecuta un código almacenado con codificación Base64 (una técnica de conversión de datos basada en 64 símbolos del formato ASCII). El código es un script de Python que intenta identificar el sistema operativo en el que se está ejecutando, realiza dos funciones diferentes según el sistema host identificado: macOS o Windows.

Los investigadores Xiaopeng Xhang y Chris Navarrete explican que el código VBA es una versión ligeramente modificada de un marco existente llamado Metasploit, una herramienta de explotación de código abierto que se puede usar para crear malware y otras herramientas para atacar sistemas, pero también se usa también como herramienta de seguridad con fines beneficiosos.

Si el sistema operativo encontrado es macOS, se ejecuta un segundo script de Python extraído de una cadena codificada en base64, descargando y ejecutando un archivo desde una URL específica. El meterpreter del archivo descargado es otro script de Python modificado a partir del marco de Metasploit: utiliza un mecanismo de carga útil dinámicamente extensible capaz de ejecutar comandos enviados desde un servidor.

Si la macro se ejecuta en Word para Windows, se invoca una función similar ejecutando un código codificado en base 64 en PowerShell que, a su vez, descomprime e inicia otro script de PowerShell. En este punto, se descarga una DLL de 64 bits, que se usa para comunicarse con un servidor, esperando instrucciones.

Esta no es la primera vez que el malware se esconde en las macros de documentos de Word; Sin embargo, quizás sea la primera vez que este tipo de malware ha tenido en cuenta tanto Windows como macOS. Como ya hemos explicado en otras ocasiones para evitar que el sistema se “contamine” con macros que contienen malware, Office para Mac muestra un mensaje de advertencia de forma predeterminada cada vez que intenta abrir un documento que contiene una macro. El mensaje se muestra aunque la macro no contiene realmente ningún virus. Puede desactivar el mensaje de advertencia pero, en este caso, deberá verificar la confiabilidad de la fuente de cada documento antes de abrirlo.