Aprovechando una técnica primitiva de Windows que se basa en macros que se ejecutan automáticamente incrustadas en documentos de Microsoft Word, recientemente se ha descubierto un nuevo tipo de ataque de malware para Mac. Como se señaló por primera vez en una investigación compilada por Objective-See, la técnica utilizada puede ser cruda, pero una vez que un usuario desprevenido abre un documento Word infectado y elige ejecutar las macros, el malware se instala silenciosamente en la Mac objetivo e inmediatamente intenta descargar un carga útil peligrosa.
El ataque se descubrió por primera vez en un archivo de Word titulado "EE. UU. Los aliados y rivales resumen la victoria de Trump: Carnegie Endowment for International Peace ”.
Después de abrir un documento infectado en Word para Mac y hacer clic en Habilitar macros En el cuadro de diálogo, la macro incrustada hace lo siguiente:
- Verificaciones para asegurarse de que el firewall de seguridad LittleSnitch no se esté ejecutando.
- Descarga una carga útil cifrada de segunda etapa.
- Descifra la carga útil utilizando una clave codificada.
- Ejecuta la carga útil..
Una vez instalada, la carga útil podría registrar sus pulsaciones de teclas, monitorear la cámara y el portapapeles del sistema, tomar capturas de pantalla, acceder a iMessage, recuperar su historial de navegación y más. También se ejecuta automáticamente después de reiniciar.
Afortunadamente, el archivo de carga remota se ha eliminado del servidor..
Aunque es peligroso, esta no es una forma de ataque particularmente avanzada.
Puede protegerse de este tipo de ataques asegurándose de hacer clic Deshabilitar macros al abrir un documento sospechoso de Word. Dada la prevalencia del malware basado en macros en Windows, no es de extrañar que Microsoft incluyera una advertencia clara sobre virus en el diálogo de Word.
Fuente: Objective-See a través de Ars Technica