Microsoft ha reanudado oficialmente el bloqueo de macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todas las aplicaciones de Office, semanas después de anunciar temporalmente planes para revertir el cambio.
«Según nuestra revisión de los comentarios de los clientes, hemos realizado actualizaciones tanto en la documentación de nuestro usuario final como de nuestro administrador de TI para aclarar qué opciones tiene para diferentes escenarios», dijo la compañía en una actualización el 20 de julio.
A principios de febrero, Microsoft publicó sus planes para deshabilitar macros de forma predeterminada en aplicaciones de Office como Access, Excel, PowerPoint, Visio y Word como una forma de evitar que los actores de amenazas abusen de la función para distribuir malware.
Es un hecho conocido que la mayoría de los ataques cibernéticos dañinos actuales aprovechan los señuelos de phishing basados en correo electrónico para difundir documentos falsos que contienen macros maliciosas como vector principal para el acceso inicial.
«Las macros pueden agregar mucha funcionalidad a Office, pero a menudo son utilizadas por personas con malas intenciones para distribuir malware a víctimas desprevenidas», señala la compañía en su documentación.
Al deshabilitar la opción de forma predeterminada para cualquier archivo de Office descargado de Internet o recibido como archivo adjunto de correo electrónico, la idea es eliminar toda una clase de vectores de ataque e interrumpir las actividades de malware como Emotet, IcedID, Qakbot y Bumblebee.
Sin embargo, Microsoft dio marcha atrás en el cambio en la primera semana de julio y le dijo a The Hacker News que está pausando el lanzamiento de la función para realizar mejoras adicionales en la usabilidad. Mientras tanto, la decisión del gigante tecnológico de bloquear macros ha llevado a los adversarios a adaptar sus campañas para recurrir a métodos de distribución alternativos como archivos .LNK e .ISO.
Dicho esto, el uso de macros maliciosas como punto de entrada para desencadenar la cadena de infección no se limita solo a Microsoft Office.
La semana pasada, HP Wolf Security señaló una «campaña de malware inusualmente sigilosa» que utiliza archivos de texto OpenDocument (.odt) para distribuir malware dirigido a la industria hotelera en América Latina.
Los documentos , que vienen adjuntos con correos electrónicos de solicitud de reserva falsos, solicitan a los destinatarios que habiliten las macros, lo que resulta en la ejecución de la carga útil del malware AsyncRAT.
«La detección de malware en los archivos de OpenDocument es muy deficiente», dijo el investigador de seguridad Patrick Schläpfer. «La estructura de los archivos de OpenDocument no se analiza tan bien con los escáneres antivirus ni se usa con tanta frecuencia en las campañas de malware».
«Muchas puertas de enlace de correo electrónico advertirían sobre los tipos de archivos más comunes que contienen varios documentos o macros vinculados, pero los archivos de OpenDocument no se detectan ni bloquean de esta manera, lo que significa que la protección y la detección están fallando en la primera etapa».
