Microsoft explica cómo protegerte de un nuevo tipo de ataque que infecta documentos de Office

Si abres un documento de Word que muestra mensajes emergentes debes tener mucho cuidado a la hora de presionar un botón para aceptar los cambios, actualizaciones, o ejecución de aplicaciones que no estás seguro de donde provienen.

El grupo de hackers Fancy Bear, conocido por sus lazos con Rusia y presuntamente responsables por el hackeo al Partido Demócrata durante las elecciones presidenciales estadounidenses del año pasado, ha estado explotando activamente una técnica que permite a un atacante usar documentos de Office para infectar ordenadores con malware.

Microsoft ha publicado nuevos consejos de seguridad a la hora de abrir documentos de Microsoft Office que utilicen Dynamic Data Exchange (DDE). Esta es una tecnología de comunicación que permite que un archivo ejecute código almacenado en otro archivo, y además hace posible que que las aplicaciones envíen actualizaciones si hay nuevos datos disponibles.

La técnica usada no es nueva, pero ha estado siendo explotada activamente de nuevo. Por defecto, Office no permite que un documento ejecute automáticamente código de apps externas, el usuario debe permitirlo de forma manual una vez que se le muestren dos mensajes emergentes.

Primer mensaje mostrado por Word para que el usuario permita al documento abrir enlaces a otros archivos y permitir actualizarlos

Si el antivirus no detecta nada malicioso en el documento y el usuario lo abre, primero tendrá que aceptar dos peticiones en diálogos emergentes para que el malware pueda infectarlo. El consejo de Microsoft es tener cuidado con lo que aceptamos si no sabemos su procedencia.

Segundo mensaje que invita al usuario a permitir que el documento ejecute otra aplicación

Los investigadores de seguridad de Trend Micro descubrieron que Fancy Bear estaba enviando un documento títulado IsisAttackInNewYork.docx que abusaba de DDE. Una vez que el usuario abría el documento, este se conecta a un servidor para descargar un malware llamado Seduploader e instalarlo en el ordenador de la víctima.

Es una forma de aprovecharse de documentos de Office para infectar usuarios sin necesidad de usar macros, y cada vez es más usada. Microsoft también ofreció para usuarios más avanzados, opciones para editar el registro y desactivar las actualizaciones automáticas de datos de un archivo a otro.