La nueva estafa del archivo Word corrupto que consigue engañar a casi todos los antivirus

En términos de ciberseguridad, un ataque de día cero es aquel que explota una vulnerabilidad desconocida por el desarrollador o proveedor del software. Al no conocerse el fallo que lo permite, no existe un parche o solución oficial para corregirla, lo que da a los atacantes la oportunidad de aprovecharla sin encontrar resistencia. Un ataque de este tipo es el que ha denunciado recientemente la firma de ciberseguridad Any.run.

Esta estafa, que podría denominarse como la del Word adjunto corrupto, aprovecha una de las debilidades que tienen la mayoría de sistemas antivirus: la ausencia de sistemas de recuperación de archivos dañados que les permitan escanear uno que esté dañado. Por tanto, el archivo malicioso pasa por los sistemas de seguridad sin ser detectado y el mismo hecho de que no pueda usarse hace suponer al usuario que no hay ningún problema de seguridad, sino de funcionamiento.

Any.run ha detectado una campaña que, bajo el pretexto de una comunicación por parte del departamento de recursos humanos de una empresa, adjunta un archivo con la terminación .docx, correspondiente al procesador de textos Microsoft Word, deliberadamente corrompido para que no pueda ser leído ni abierto por Word u otros programas, como un antivirus.

'Los atacantes aprovechan los mecanismos de recuperación de archivos "dañados" de forma que los programas correspondientes como Microsoft Word, Outlook o WinRAR, que tienen procedimientos de recuperación integrados, puedan manejar dichos archivos sin problemas', explica Any.run en una publicación en X.

🚨 ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (2/3)
When analyzing a corrupted file, it is mostly identified as a #ZIP archive or MS Office file

💢 Security solutions attempt to extract its contents, assuming they need to scan the files… pic.twitter.com/Yh96yxrcRD

— ANY.RUN (@anyrun_app) November 25, 2024

En este caso, con el archivo corrompido comprobado por VirusTotal, un servicio online que analiza archivos con más de 70 motores antivirus en busca de amenazas de ciberseguridad, no se detecta ninguna amenaza. El motivo, ya mencionado, es que la mayoría de los programas antivirus y herramientas automatizadas no cuentan con la función de recuperación que se encuentra en aplicaciones como Word u otras. Esto les impide acceder al contenido del archivo dañado, de forma que no puedan detectar la amenaza.

Así que, una vez pasados los filtros de seguridad con los que cuente el usuario o la red de la que forma parte el equipo, cuando intente abrir el archivo ilegible, Word le informará de que está dañado y dará la opción de recuperarlo. Tarea que la aplicación lleva a cabo para mostrar un contenido que es un código QR que lleva a una página de phishing, en este caso, suplantando a Microsoft para obtener las credenciales de acceso del usuario.

Aunque en este ejemplo se ha detectado con archivos .docx, no es el único formato que pueden usar los atacantes. Con la misma táctica para evadir antivirus, los atacantes también lanzan archivos corruptos con software malicioso en su interior que aplicaciones como WinRAR pueden restaurar para ser abiertos por el usuario.

¿Cómo protegerse frente a estas amenazas que escapan a la mayoría de antivirus? Existen soluciones de seguridad, como la de Any.run, que abren los archivos sospechosos con la aplicación correspondiente en un entorno seguro en el que no puede hacer daño y comprueban así si el archivo corrupto esconde alguna sorpresa.