El informe ESET Threat Report advierte que un exploit que capitaliza una vulnerabilidad en Microsoft Office 2017 se ha erigido como la principal detección maliciosa a través de correo electrónico en América Latina durante la segunda mitad de 2023. El documento alerta sobre su utilización por parte de cibercriminales para distribuir variados tipos de malware, incluyendo el conocido Agent Tesla y otros troyanos de acceso remoto.
El exploit en cuestión se aprovecha de la vulnerabilidad denominada CVE-2017-11882, presente en el editor de ecuaciones de Microsoft Office desde 2017. A pesar de que existen parches de seguridad disponibles, sigue siendo una de las vulnerabilidades más explotadas en 2023. Gustavo Gutiérrez Amaya de ESET destaca que esto puede deberse a diversos factores, como la falta de inversión en la aplicación de parches de seguridad, el uso inadecuado de software pirata, o la falta de conciencia sobre la vulnerabilidad y sus riesgos asociados.
El exploit implica la creación de un archivo malicioso, generalmente distribuido a través de correo electrónico. En el caso de una apertura exitosa por parte de la víctima sin el correspondiente parche de seguridad, el atacante puede ejecutar código con los privilegios del usuario, permitiéndole desde instalar programas hasta borrar datos, dependiendo de los privilegios de la víctima.
ESET señala que, en la mayoría de los correos maliciosos, el archivo infectado se distribuye a través de documentos Excel adjuntos. Recientemente, se ha identificado su uso para la distribución del malware Agent Tesla, que tiene como objetivo robar contraseñas del navegador, registrar pulsaciones de teclado y acceder al contenido del portapapeles de la víctima.
La compañía especializada en ciberseguridad comparte un ejemplo de cómo se intenta distribuir esta amenaza a través de un correo de phishing, adjuntando un archivo Excel, una táctica que se repite con frecuencia:
El correo malicioso en cuestión se distingue por utilizar el nombre y, en ocasiones, el puesto de trabajo de una persona real, agregando una capa adicional de sofisticación a la campaña. Para complicar aún más la detección, los cibercriminales han empleado la técnica de email spoofing, ocultando la verdadera dirección del remitente y sustituyéndola por una legítima, lo que dificulta su identificación.
Cómo protegerte del exploit
- Actualizar las soluciones de ofimática e incorporar el buen hábito de mantener actualizado todo software y hardware con las últimas actualizaciones de seguridad. Son estas actualizaciones las que contienen parches que corrigen los fallos de seguridad que suelen ser aprovechados por los cibercriminales.
- Aprender a reconocer correos de phishing, ya sea verificando la dirección del remitente y otros elementos para determinar si una comunicación que llega a la bandeja de entrada es falsa.
- No descargar ni abrir archivos adjuntos incluidos en correos que llegan de manera inesperada y/o no solicitada de parte de remitentes desconocidos, como tampoco abrir enlaces que pueden ser incluidos en este contexto.
- Tener instalado en la computadora y el dispositivo móvil un software antimalware que detecte y bloquee cualquier correo sospechoso a tiempo.