Investigadores de seguridad de Kaspersky han descubierto una nueva forma de ataque que está siendo empleada para recolectar datos de los usuarios de Microsoft Word. A diferencia de los sospechosos habituales en este tipo de actividades maliciosas, no tiene que ver con macros, ni exploits de contenido dentro de los documentos, como suele ser usual.
A través de un documento de Word que luce aparentemente inofensivo, con solo texto y un par de enlaces (nada de objetos en Flash, ni macros, ni archivos ejecutables), el atacante es capaz de aprovecharse de una función del mismo Word que no ha sido documentada antes para recoger datos sobre el ordenador de la víctima.
Los investigadores detectaron este tipo de ataques al encontrarse con campañas de spear phishing, esas estafas focalizadas por correo electrónico cuyo propósito es obtener acceso no autorizado a datos confidenciales, que contenían adjuntos que no parecían ser maliciosos inicialmente.
Los emails maliciosos tenían adjunto un documento de Word con unos simples trucos para Google que lucía aparentemente limpio. Pero, usando ese documento los atacantes fueron capaces de insertar enlaces a scripts PHP de sitios maliciosos de terceros.
Cuando la persona abría el documento este era capaz de aprovecharse de una función llamada "INCLUDEPICTURE" para manipular el código y lanzar una petición a las URLs maliciosas que estaban dentro del documento. Y, de esa forma enviaban información sobre el ordenador de la víctima y su versión de Office.
Los investigadores tuvieron problemas para entender qué era lo que hacía exactamente esa función "INCLUDEPICTURE", pues no encontraron una descripción oficial o información de cómo debería ser interpretada, pues la documentación de Microsoft Office no incluye ninguna descripción de ella.
La función se encuentra en Microsoft Word para Windows, iOS y Android. Si algún usuario de esos sistemas abre el documento malicioso en su dispositivo, se hará la llamada al enlace malicioso, se recogerán sus datos y se entrará en una posible lista para futuros ataques focalizados.
Fuente | Kaspersky Lab Securelist
En Genbeta | Un nuevo malware en Office te infecta con solo pasar el mouse por encima de un enlace en PowerPoint
Ver 8 comentarios
8 comentarios
jvdjeery
¿Aún hay personas que abren archivos sin tener idea de dónde salieron?
kadmon
Resumiendo, word carga una url remota y en el servidor queda registro de esa petición, como ocurre siempre.
Cada vez que entras a una página con el navegador dejas más datos tuyos que los que se extraen de word y yo no veo a nadie diciendo que firefox te deja expuesto a un ataque porque envía tu user-agent al servidor y eso que en el user-agent va el navegador que usas, la versión, qué sistema operativo tienes y su versión y si es de 32 o 64 bits. Y a mayores el navegador expone más datos de ti, como tu idioma principal, la resolución de pantalla o qué pluggins tienes instalados.