Un sofisticat engany ha posat en alerta la comunitat d'usuaris de criptomonedes i tecnologia, després d'un malware ocult a Microsoft Office. Aquesta amenaça, identificada recentment per experts en ciberseguretat, s?hauria camuflat com un conjunt d?eines legítimes en plataformes de descàrrega populars, amb el propòsit de sostreure fons digitals sense que les víctimes ho notin.
L'engany rau en l'ús de paquets falsos de complements de Microsoft Office publicats al portal SourceForge, una coneguda plataforma d'allotjament de programari. Aquests arxius, encara que es presenten com a inofensius i útils, contenen un codi maliciós anomenat ClipBanker, especialitzat en interceptar adreces de criptomonedes copiades pels usuaris per redirigir els diners a les bitlleteres dels atacants.
ClipBanker: el codi maliciós ocult a Microsoft Office
ClipBanker no actua de manera visible per a l'usuari, sinó que espera que aquest copiï una adreça de cartera, pràctica comuna quan es realitzen transferències de criptoactius. En lloc de mantenir aquesta direcció, el codi maliciós la reemplaça per una altra sota el control de l'atacant, desviant així els fons sense aixecar sospites immediates.
La firma de seguretat Kaspersky ha estat una de les primeres a investigar i alertar sobre aquest atac, destacant que el nom del paquet enganyós utilitzat en alguns casos és “officepackage”. Tot i que inclou components que aparenten ser autèntics, la seva veritable intenció és comprometre els sistemes dels usuaris.
Enginyeria social i tècniques d'evasió avançades
Una de les tàctiques utilitzades pels delinqüents per donar credibilitat al fitxer maliciós és la creació duna pàgina de descàrrega molt similar a les pàgines oficials. S'hi mostren noms d'eines populars i botons d'instal·lació que simulen processos legítims, augmentant així la probabilitat que l'usuari caigui al parany.
A més de reemplaçar adreces de moneders, el codi maliciós recopila informació del sistema infectat, incloent adreces IP, ubicació geogràfica i nom de lusuari. Aquesta informació és transmesa als operadors del virus mitjançant la plataforma de missatgeria Telegram, cosa que permet als atacants mantenir un control remot de l'equip o fins i tot comercialitzar l'accés amb tercers.
Detalls tècnics aixequen sospites sobre aquest codi maliciós ocult a Microsoft Office
Un dels indicis més clars que alguna cosa no va bé és la mida dels arxius descarregats. Segons Kaspersky, diverses aplicacions malicioses presenten un pes inusualment reduït, cosa que no és normal en programari de Microsoft Office, ni tan sols quan està comprimit. Altres paquets, per contra, estan inflats amb dades sense sentit per aparentar una estructura autèntica.
El programari maliciós ha estat dissenyat amb la capacitat d'evitar la seva detecció. Podeu analitzar l'entorn del dispositiu per verificar si ja és present o si hi ha eines antivirus que el podrien identificar. En cas que detecti algun d'aquests elements, té la capacitat d'autodestruir-se, cosa que en dificulta l'anàlisi posterior per part d'experts.
Usuaris objectiu? Majorment de parla russa
Una gran part de les infeccions localitzades fins ara ha passat a Rússia. L'informe de Kaspersky estima que fins a un 90% dels que han estat enganyats per aquest esquema pertanyen a aquest país. Es calcula que més de 4.600 usuaris han topat amb el parany entre el gener i el març d'aquest any.
L'idioma de la interfície utilitzada pels atacants també està en rus, cosa que suggereix que aquest públic era l'objectiu principal. No obstant això, atès que el programari pot ser distribuït globalment a través d'internet, no es descarta que altres països es puguin veure afectats en els propers mesos.
Recomanacions per evitar caure al parany d'aquest codi maliciós ocult a Microsoft Office
Descarregar programari només des de fonts oficials és la mesura més eficaç per reduir el risc d'infeccions. Kaspersky adverteix sobre el perill de recórrer a programes piratejats o llocs alternatius, que solen tenir menys controls de qualitat i verificació.
Els delinqüents continuen actualitzant les tècniques per fer passar els seus programes per autèntics. L'ús de plataformes populars i el disseny d'interfícies convincents fan que els usuaris menys experimentats siguin especialment vulnerables.
Una amenaça en expansió més enllà de l'Office
Aquest tipus de codi maliciós no és un cas aïllatAltres empreses del sector, com Threat Fabric, han reportat també l'aparició de noves variants que afecten específicament usuaris d'Android.
La contínua diversificació dels atacs demostra que els criminals no només busquen un guany immediat. També estan disposats a vendre el control de l'equip a tercers o reutilitzar la infraestructura compromesa per a noves campanyes delictives.
La enginyosa estratègia de ocultar malware en allò que semblen ser eines legítimes de Microsoft Office posa en relleu com de vulnerables poden ser els usuaris quan es confien de fonts no oficials. Aquests atacs, centrats principalment en les criptomonedes, aprofiten la manca de coneixements tècnics i la recerca de dreceres per part dels internautes.
Sempre és recomanable comprovar la procedència del programari abans dinstal·lar i no confiar en llocs o enllaços sospitosos. Comparteix la informació perquè més usuaris estiguin al corrent de la novetat i els perills d'aquest codi maliciós ocult a Microsoft Office.