Uno de los aspectos más críticos en la seguridad informática es que los desarrolladores maliciosos no se quedan (y nunca se han quedado) con los brazos cruzados. Lo que hace un par de años atrás parecía imposible, hoy es un nuevo método de infección, o la optimización de uno ya existente. Las últimas noticias llegan a través de Trend Micro, que descubrió un troyano con la capacidad de atacar utilizando un documento especial de PowerPoint, el cual contiene un enlace malicioso al que no es necesario clickear. Apenas pasando el cursor sobre dicho enlace es suficiente.
El home banking y la administración electrónica de fondos no paran de ganar terreno, lo que convierte al usuario final en un blanco cada vez más tentador para ciertos desarrolladores maliciosos dispuestos a organizar campañas más precisas. A pesar del enorme daño que causó, lo cierto es que los responsables de WannaCry no superaron los 75 mil dólares en su recaudación. Dicho de otro modo, es demasiada atención por poco dinero. Si bien todos sabemos que es cuestión de tiempo para que el próximo gran ataque de ransomware incendie media Web, no es descabellado imaginar una serie de campañas más sutiles y silenciosas en el medio.
Una de ellas acaba de ser descubierta por la gente de Trend Micro en territorio europeo. El downloader, al que la compañía detecta con los nombres TROJ_POWHOV.A y P2KM_POWHOV.A, presenta al usuario un documento de PowerPoint cargado con una imagen o una pieza de texto enlazada. Lo más llamativo es que el usuario no necesita hacer clic en ese enlace, y sólo con pasar el cursor por arriba activa la instalación (usando un comando PowerShell) de un troyano bancario conocido como OTLARD o Gootkit. Este troyano atacó en territorio francés un par de años atrás distribuyendo spam judicial, y su habilidad para robar credenciales bancarias está muy bien documentada.
Trend Micro indicó que esta nueva campaña fue apenas un «blip» en su radar, con una cantidad limitada de infecciones en cinco días. Sin embargo, eso no es algo extraño (el plan es reducir su huella para dificultar la tarea de los investigadores), y la primera impresión es que se trata de una prueba de vuelo. Ahora, la pregunta es: ¿Cómo nos defendemos? Trend Micro confirmó que el troyano no funciona en PowerPoint Online, ni en el modo Web de Office 365, pero sí puede afectar al resto. La primera línea de defensa es mantener activada a la función de Vista Protegida en Office, y aplicar un voto de no confianza a ese contenido (un correo desconocido con un adjunto de PowerPoint probablemente esté buscando problemas). Tal vez Microsoft lance un hotfix general con la intención de minimizar o anular por completo su impacto, e imagino que las empresas de seguridad harán los ajustes correspondientes en sus productos. Debemos estar atentos.
La entrada Nuevo troyano en PowerPoint ataca con sólo pasar el cursor sobre un enlace se publicó primero en NeoTeo.