Macromalware en América Latina: la amenaza que se esconde en los documentos de oficina

Un repaso, en cifras, al comportamiento en el último tiempo del macromalware en Latinoamérica y en particular en México

Hacia fines de 2018, el Laboratorio de Investigación de ESET identificó un aumento en los registros de macro malware en México, una amenaza que ha mantenido constante actividad maliciosa en este territorio y que ubica al país con el mayor número de detecciones en la región. En esta publicación analizamos el comportamiento de este troyano en Latinoamérica.

Características del malware de macros

En los últimos años, el macro malware ha sido utilizado en campañas de propagación de diversas familias de malware y sus variantes. Esta amenaza identificada por las soluciones de seguridad de ESET como VBA/TrojanDownloader.Agentees un troyano cuyo principal objetivo es descargar otros códigos maliciosos de Internet.

Tiene como base el uso de macros de Visual Basic para Aplicaciones (VBA)comúnmente utilizado en aplicaciones de oficina, como la suite de Microsoft Office, en las que se incluye una dirección URL desde la cual pretende descargar (a través del protocolo HTTP), códigos maliciosos alojados en servicios web. Posteriormente, a partir de la descarga del código malicioso, se realiza la descarga de una segunda amenaza; la cual se ejecuta en el sistema de la víctima y puede tener distintas proposições malintencionadas.

Desde su aparición en mayo de 2014, este método de propagación de malware ha tenido una importante actividad en diferentes partes del mundo y América Latina no es la excepción; en especial México, país que sobresale como el territorio más afectado por este descargador en la región.

Como ejemplo, una campaña de spam que utiliza macros para inyectar código y que sigue afectando a la región de América Latina es la de Emotet, que hemos analizado en detalle en algunos artículos, así como campañas dirigidas a Colombia suplantando la identidad de los organismos. gobiernos de este país.

Actividad constante de VBA/TrojanDownloader.Agente

Por sus características, Aparecen continuamente nuevas variantes de macro malware, porque luego de ser identificados por las soluciones de seguridad, deben ser modificados por los atacantes para aumentar la efectividad de la diseminación de malware. Destaca la candidad de variantes utilizadas en los ultimos cinco años, con un crecimiento sostenido en Latinoamérica.

Crecimiento de variantes de macro malware en Latinoamérica

En la región, durante 2018 se identificaron 3430 variantes de VBA/TrojanDownloader.Agente, mientras que en 2017 el número de variantes fue de 2475, un aumento de más de 950 variantes de un año a otro. De manera similar, los datos para el territorio mexicano han mantenido un incremento constante, como se muestra en la siguiente gráfica comparativa.

Variantes VBA/TrojanDownloader.Agent en México y Latinoamérica (2014-2018)

Lo anterior puede deberse a dos razones; por un lado, las amenazas son acumulativas, es decir, las primeras variantes, lejos de desaparecer, tendrán actividad, aunque con menor intensidad. La segunda razón se explica por el hecho de que este tipo de campañas de propagación de familias de malware son temporales y se modifican constantemente.

Número de detecciones de macro malware en América Latina

Por otro lado, las detecciones de VBA/TrojanDownloader.Agente han tenido un comportamiento diferente con respecto a la candid de variantes. 2016 fue el año con mayor número de registros (concretamente los meses de julio y diciembre) y en 2018 se registró un repunte en los últimos meses del año, aunque sin llegar a las cifras de 2016, como se muestra en el siguiente gráfico, donde Puede observarse la comparación entre las detecciones para Latinoamérica y México también.

Detecciones VBA/TrojanDownloader.Agent en México y Latinoamérica (2014-2018)

Los datos anteriores muestran que, a pesar de que 2018 fue el año con mayor número de variantes identificadas, no representó el período con más detecciones. Por el contrario, si bien 2016 concentró el mayor número de detecciones, la cantidad de variantes fue mucho menor en comparación con las del año anterior.

Comportamiento del malware de macros en México

Durante este análisis de datos, cabe señalar que para el período de 2014 a 2018, México ha sido el país con mayor número de detecciones de esta amenaza con el 28,6 % del total de registros, seguido de Argentina (17,3 %). ) y Perú (16,2%).

Año tras año desde 2014, México se perfila como el país con mayores valores del país descargador en Latinoamérica, lo que muestra la constante actividad de esta amenaza en territorio Azteca.

Detecciones VBA/TrojanDownloader.Agent en Latinoamérica (2014-2018)

De manera similar a las detecciones para Latinoamérica, se observa que la mayor actividad de macromalware en México se registró en diciembre de 2016, con un aumento importante en noviembre de 2018; la siguiente gráfica muestra este comportamiento.

Actividad de macromalware en México (2014-2018)

Si se contrastan los datos de 2018 con los de 2017, se aprecia un aumento del 50% en la detección de malware de macros en el territorio mexicano, mientras que el número de variantes se incrementó en un 35%. En comparación con los datos de 2016, las detecciones se redujeron un 50 % en 2018, mientras que el número de variantes aumentó un 130 %. A pesar de lo anterior, sigue siendo el país más afectado de la región.

Buenas prácticas para evitar infecciones por malware de macros

El correo electronico es la via principal por la cual el trojano llega a los usuarios como un archivo adjunto de ofimatica, el cual incluye las instrucciones maliciosas en las macros. Por esta razón, una buena práctica consiste en hacer caso omiso de este tipo de mensajes, que en ocasiones resultan demasiado engañosos o intimidatorios, ya que utiliza técnicas de Ingeniería Social.

En este sentido, deshabilitar la configuración para la ejecución automática de las macros en aplicaciones de ofimática se convierte en una buena práctica. Además, es importante contar con una solución de seguridad antimalware instalada, correctamente configurada y actualizada, ya que de esta forma es posible detectar y bloquear la mayoría de estas amenazas, así como soluciones antispam, ya sea localmente en los equipos o los servidos de Correo electrónico.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!