Método para detectar si un documento de Office posee código malicioso

April 29, 2021

Una de las tantas estrategias utilizadas por los cibercriminales para intentar infectar las computadoras de sus víctimas es mediante el envío de un documento del paquete de Office (documentos de texto, hojas de cálculo, presentaciones, entre otros) con contenido malicioso. El documento puede estar adjunto en un correo electrónico o en algunos casos comprimido dentro de otro archivo, por ejemplo, un archivo ZIP.

Estos documentos utilizados como señuelo suelen hacer referencia a distintas temáticas (facturas, comprobantes, etc.) con el objetivo de hacer creer que se trata de un archivo legítimo y de esta manera engañar al usuario para que lo ejecute. Así, el atacante logra correr su código malicioso en el equipo de la víctima, como puede ser, por ejemplo, un spyware que se descargue desde un sitio malicioso o desde un sitio legítimo que fue comprometido.

Los cibercriminales aplican distintas técnicas sobre estos documentos del paquete Office para evadir las soluciones de seguridad instaladas en el equipo y ocultar sus intenciones. Algunas de estas técnicas son el uso de las macros con distintos niveles de ofuscación o la descarga de un template desde una URL maliciosa embebida dentro del documento.

Método para determinar si tienen contenido malicioso:

Buscar el archivo en Virus total


VirusTotal es un sitio que nos ofrece de forma gratuita la posibilidad de analizar archivos sobre distintas soluciones de seguridad, así como también realizar búsquedas de un archivo por hash o realizar búsquedas a partir de una URL.

Los archivos que se suben a este sitio pueden ser descargados por cualquiera de sus usuarios registrados que tengan un servicio premium.

Por este motivo, no es recomendable subir archivos que contengan información sensible. Si se desea realizar una búsqueda por algún archivo en particular se puede hacer por medio de su respectivo valor hash. Para obtener el hash de un archivo se puede levantar una consola de PowerShell y ejecutar el comando Get-FileHash <Archivo>. En este caso vamos a hacerlo sobre un documento sospechoso.

Conclusión

Este es un método que podríamos utilizar si recibimos un documento de una fuente sospechosa y queremos detectar si contiene código malicioso o no. Es importante recordar que los cibercriminales constantemente están creando nuevas técnicas de evasión u ofuscación, por lo que es posible que algunas de estas técnicas (o todas) no puedan aplicarse en algún caso particular. Estrategia y Seguridad somos tus aliados en protección si tienes alguna otra pregunta no dudes en contactarnos.