¡Alerta! Documentos de Microsoft Word usados en una peligrosa campaña de phishing

Se ha descubierto un nuevo tipo de estafa de phishing que usa ficheros Word corruptos para eludir los antivirus, y robar las contraseñas del usuario. Te explico cómo funciona.
No importa que tengas instalado un potente antivirus, o que uses un sandbox antes de ejecutar ficheros peligrosos. Los ciberdelincuentes se las apañan para encontrar nuevas formas de romper las defensas. Una nueva técnica de phishing elude estas protecciones, usando documentos de Word corruptos.
La firma de seguridad any.run ha descubierto un ataque phishing que evade los antivirus, y no permite ejecutarse en un sandbox, utilizando documentos Word corruptos que supuestamente incluyen bonificaciones de nóminas, pagas extra, bonos, y otros ganchos.
El ataque está dirigido a empleados de ciertas empresas, ya que los documentos de Word tienen el logo de las empresas, e incluso fotos reales de los empleados para parecer más reales. Vamos a ver cómo funciona esta estafa.
El nuevo ataque phishing con documentos Word corruptos
Según ha podido comprobar any.run, estos documentos se enviaban a empleados de empresas desde un correo falso que simulaba el departamento de administración o de nóminas de dicha compañía.
Los ficheros de Microsoft Word son detectados como limpios por los antivirus, y producen un error al intentar abrirlos en un sandbox, porque están corruptos.
Sin embargo, aun conteniendo fallos, Microsoft Word puede abrirlos. Entonces aparece un mensaje que indica que el documento adjunto se ha corrompido, y muestra un código QR para poder volver a descargarlo.
Un fichero de Word no puede contener virus, pero un código QR puede llevar a una web que sí lo contenga. Como ocurre en este caso. El QR apunta a una web que simula el departamento de nóminas, en donde pide iniciar sesión con la cuenta de la empresa.
Al hacerlo, los ciberdelincuentes roban el nombre de usuario y la contraseña de la cuenta, obteniendo el acceso a la empresa.
Lo destacable de esta nueva técnica de phishing, es cómo elude la seguridad. El documento Word ha sido corrompido a propósito, de tal forma que los antivirus lo identifican como un fichero comprimido corrupto. Al intentar descomprimirlo no pueden hacerlo, así que lo catalogan de fichero inservible y, por tanto, inofensivo.
Sin embargo, la corrupción solo es parcial, generada de tal forma que Microsoft Word pueda leer parcialmente el fichero de texto, para mostrar el mensaje y el código QR.
La protección ante este tipo de phishing es siempre la misma: no descargar ficheros de ningún enlace o código QR que llegue por email, hasta comprobar su origen.
Usar documentos Word corruptos para eludir el antivirus, sin estropear del todo el fichero, es una técnica muy inteligente, que requiere una gran destreza para llevarla a cabo.

