ESET detectó una nueva amenaza que forma parte de una campaña de propagación de malware en Latinoamérica con fuerte incidencia en México.

En esta ocasión la propagación se da a través de un correo que llega a la bandeja de entrada del usuario conteniendo en el adjunto un documento malicioso de Word que dice proceder de una reconocida entidad bancaria mexicana. Si el usuario cae en el engaño y abre dicho documento bajo el nombre “Retiro-Compra.doc”, verá un aviso que dice que el documento no puede ser mostrado y que para poder hacerlo, debe habilitar los Macros de Microsoft Word. Sin embargo, al realizar esta acción la víctima verá un nuevo mensaje de error y tampoco podrá acceder al supuesto archivo.

De este modo, el equipo del usuario se podría ver afectado por un código malicioso, detectado por ESET comoVBA/TrojanDownloader.Agent.TI. Este troyano, se oculta dentro del sistema e informa al atacante de las acciones que realiza el usuario, enviando información sensible como por ejemplo, usuario y contraseña de la banca en línea de la víctima.

Según las estadísticas de ESET Live Grid, las detecciones VBA/TrojanDownloader.Agent.TI predominaron en México, con el 50% de las detecciones a nivel mundial. Entre los otros países de Latinoamérica que componen el Top 15 podemos encontrar a Argentina 4%, El Salvador, Chile y Perú cada uno con el 1% de las detecciones.

El uso de documentos maliciosos de Word, con macros que descargan diferentes variantes de malware a la computadora de sus víctimas, es una tendencia que creció fuertemente en los últimos años. Por medio de esta técnica los cibercriminales logran engañar a los usuarios y convertirlos en parte de una botnet.

Es importante recordar que el uso de una solución de seguridad proactiva es fundamental para evitar este tipo de ataques. Sin embargo, resulta importante también, destacar el rol que cumplen la educación y gestión de la información para evitar estas situaciones. En el caso de las empresas, lo recomendable, es deshabilitar las macros como una política de seguridad.

Por el otra parte, para los usuarios hogareños que podrían haber recibido este correo, es importante remarcar que nunca deberían habilitar las macros de un documento, y tener en cuenta que las instituciones financieras no suelen enviar documentos de office adjuntos ni solicitar la ejecución de macros.