Cómo evitar la ciberestafa rusa del PowerPoint
Un ciberdelincuente vinculado al Estado Ruso, conocido como Fancy Bear -aunque también se le conoce con otros nombres, como APT28, Pawn Storm o Tsar Team- ha puesto en jaque a servicios de seguridad nacionales y ciudadanos anónimos en todo el mundo con una estafa online que emplea un programa tan utilizado como Power Point para engañar a los usuarios y hacerle caer en su trampa.
Los ciberdelincuentes atacan principalmente a usuarios relacionados con la seguridad y los gobiernos
La estafa aprovecha el movimiento del ratón en documentos trampa de Microsoft Power Point para instalar virus y malware tanto en ordenadores corporativos como en equipos de usuarios personales. Esto ocurre tan pronto como el usuario inicia el modo presentación de Power Point y realiza cualquier movimiento de ratón en el documento.
El ciberdelincuente ataca a todo tipo de usuarios, pero uno de los objetivos primordiales de la estafa son las entidades y profesionales que trabajan en los sectores de defensa y gobierno de los principales países de Europa Occidental y Europa del Este.
Para engañar a estos usuarios, el ataque emplea un documento trampa que hace uso de una plantilla de Power Point vinculada a la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
Según ha señalado la compañía de ciberseguridad Nunsys, el funcionamiento de la estafa es el siguiente: el malware ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un “dropper” desde la solución de almacenamiento OneDrive.
Dicho “dropper”, un archivo de imagen aparentemente inofensivo, funciona como una vía para incorporar un fichero o “payload” persistente, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C&C) para obtener información.
Dado que las URL utilizadas en los ataques más recientes aparecieron activos en los meses de agosto y septiembre de año -aunque se han encontrado amenazas desde el pasado mes de enero- es más que posible que se estén produciendo más ataques en la actualidad.
Por eso, es necesario extremar la precaución, no sólo entre aquellos profesionles del sector de la defensa y el gobierno, sino que conviene no descuidar la vigilancia en otro tipo de industrias e incluso a nivel personal, ya que Power Point es una herramienta muy utilizada por todas las empresas, de todos los sectores, y por usuarios a nivel particular.
A nivel corporativo, contar con herramientas EDR (detección y respuesta del endpoint, es decir, del dispositivo informático del empleado) para monitorizar el tráfico entre dispositivos y red y proteger el puesto de trabajo resulta fundamental.
Del mismo modo, es necesario prohibir el uso de macros en documentos ofimáticos que provengan de fuentes no confiables y deshabilitar línea de comandos (“powershell”) en perfiles de usuarios que no lo requieren.
Contar con los últimos parches de seguridad del sistema operativo que se emplee, utilizando siempre su última versión, así como asegurar el sistema de copias de seguridad y contar con un cortafuegos fiable resulta fundamental para protegerse de la ciberestafa rusa del PowerPoint.
