Una de las tantas estrategias utilizadas por los cibercriminales para intentar infectar las computadoras de sus víctimas es mediante el envió de un documento Office infectado. Nos referimos a documentos de texto, hojas de cálculo, presentaciones, entre otros, con contenido malicioso. El documento puede estar adjunto en un correo electrónico o en algunos casos comprimido dentro de otro archivo, por ejemplo, un archivo ZIP.
Estos documentos utilizados como señuelo suelen hacer referencia a distintas temáticas (facturas, comprobantes, etc.) con el objetivo de hacer creer que se trata de un archivo legítimo y de esta manera engañar al usuario para que lo ejecute. Así, el atacante logra correr su código malicioso en el equipo de la víctima, como puede ser, por ejemplo, un spyware que se descargue desde un sitio malicioso o desde un sitio legítimo que fue comprometido.
Los cibercriminales aplican distintas técnicas sobre estos documentos del paquete Office para evadir las soluciones de seguridad instaladas en el equipo y ocultar sus intenciones. Algunas de estas técnicas son el uso de las macros con distintos niveles de ofuscación o la descarga de un template desde una URL maliciosa embebida dentro del documento.
Conceptos teóricos a tener en cuenta
Antes de mencionar los métodos que nos podrían ayudar a determinar si un documento tiene contenido malicioso o no, es importante tener presente algunas cuestiones relacionadas con estos:
Archivos con extensión terminada en X (docx, xlsx, etc.)
Este tipo de archivos están organizados en una estructura con una colección de múltiples archivos con formato XML en base al estándar Office Open XML (OOXML) desarrollado por Microsoft. Por la convención adoptada en este estándar, los archivos OOXML son archivos ZIP, por ende, podemos abrir uno de estos archivos con alguna herramienta de compresión/descompresión. Por ejemplo, con 7zip.
Una vez descomprimido, observaremos la existencia de muchos archivos. Por ejemplo, el archivo [Content_Types].xml que contiene información de todo el documento; o archivos que terminan con la extensión “rels” (por ejemplo “document.xml.rels”) que son utilizados para establecer relaciones entre distintas secciones del documento —estilos, pie de página o URL con enlaces externos.
Esta definición nos será de ayuda más adelante en la sección: Detectando URL maliciosas en el documento.
Macros
Una macro es una serie de instrucciones agrupadas bajo un mismo comando que permiten ejecutar una tarea de forma automática en un documento. De esta manera, los cibercriminales desarrollan macros (por lo general utilizando el lenguaje de programación Visual Basic) para ponerlas dentro de documentos con fines maliciosos.
Object Linking and Embedding (OLE)
OLE es una tecnología desarrollada por Microsoft que permite tomar un Objeto de un documento y colocarlo en otro; por ejemplo, incluir una tabla de una planilla de Excel en un documento de Word.
Sigue leyendo: Métodos para detectar si un documento de Office posee código malicioso | WeLiveSecurity
