La nueva estafa del archivo Word corrupto que engaña a casi todos los antivirus

Los ciberdelincuentes tratan de agudizar su ingenio constantemente, buscando nuevas fórmulas para engañar a sus víctimas y, de paso, eludir la detección de los programas antivirus. Este es el caso de una nueva estafa que está circulando en la que nos llega un archivo de Word corrupto que al ser recuperado descarga toda su carga maliciosa en nuestro dispositivo. Te contamos cómo puedes identificarlos y por qué los antivirus no lo tienen en su radar.

No es un archivo de Word, es un troyano

Quienes han puesto en alerta a los usuarios de todo el mundo son la firma de ciberseguridad conocida como ANY.RUN. En su blog detallan el proceso por el que han detectado una nueva ciberestafa relacionada con archivos de Word dañados que, al ser reparados por Word, OpenOffice u otras soluciones de ofimática, liberan carga de malware en nuestros dispositivos.

Se trata de una sofisticación de la técnica más habitual de adjuntar un archivo en un correo electrónico ya estando infectado. Partiendo de la base de que —como recomiendan todos los especialistas en seguridad— no se deberían abrir a la ligera archivos adjuntos si provienen de remitentes desconocidos o poco confiables, los estafadores van un paso más allá, porque intentan ocultar el tipo de archivo corrompiéndolo deliberadamente. Esto permite que los correos electrónicos maliciosos lleguen a la bandeja de entrada de la víctima más fácilmente.

Con este giro de tuerca, aunque está dañado y dañado, el archivo permanece indetectable para las herramientas de seguridad, pero “las aplicaciones del usuario lo manejan sin problemas debido a los mecanismos de recuperación integrados que explotan los atacantes”.

Una estafa a prueba de antivirus

Lo curioso de este tipo de estafas y ciberamenazas es que las soluciones de seguridad integradas en los antivirus rara vez consiguen detectarlo. La muestra infectada del archivo de Word de Any.run fue analizada en un comparador de antivirus como es VirusTotal. Los resultados son de lo más preocupantes sabiendo que el archivo es malicioso, puesto que solamente 18 de los antivirus fueron capaces de detectar la amenaza.

El dato es cuanto menos preocupante, pues esta página web tiene un total de 76 soluciones de ciberseguridad puestas a examen, lo que quiere decir que un total de 58 de ellas o bien no identificaron la amenaza (es el caso de 44 antivirus) o no pudieron procesar el tipo de archivo (14 de los antivirus puestos a prueba). Por tanto, no es solamente un problema que podamos recibir este tipo de correos electrónicos con un archivo de Word fraudulento, sino que además nuestro programa de ciberprotección probablemente no lo detecte, ya que solamente lo detectan el 23,68% de los programas antivirus y lo marcan correctamente como amenaza.

El principal motivo por el que sucede este índice tan bajo de detección por parte de los programas especializados es debido a la forma de camuflar la amenaza. Los atacantes pueden crear archivos dañados que las aplicaciones pueden reparar con éxito, pero que no son detectados por el software de seguridad. En esencia, y simplificando mucho el proceso, al ser un archivo dañado que la aplicación de Word se encarga de reparar, sería como si se descomprime un archivo y es entonces cuando se produce la infección.

“La mayoría de los programas antivirus y herramientas automatizadas no cuentan con la función de recuperación que se encuentra en aplicaciones como Word. Esto les impide identificar con precisión el tipo de archivo dañado, lo que hace que no puedan detectar ni mitigar la amenaza”, advierten desde ANY.RUN. “Las soluciones de seguridad intentan extraer su contenido, asumiendo que necesitan escanear los archivos dentro, y pasan por alto el archivo en sí. Como el sistema de extracción no encuentra ningún fichero dentro del archivo, se niega a guardarlo. Como resultado, el proceso de escaneo nunca comienza”.