Los agujeros de seguridad están en todas partes y rara es la semana en la que alguno de ellos no es noticia. En esta ocasión, le ha tocado el premio gordo a PowerPoint, el software de presentaciones que forma parte de la suite ofimática Microsoft Office. A diferencia de otros problemas de seguridad con estas aplicaciones de Redmond, no ha sido necesario el uso de las macros para colar malware en un equipo.

Seguro que habéis oído hablar de las macros de Office como forma para hackear ordenadores, especialmente en el caso de los documentos de Microsoft Word. Alguna vez os hemos contando cómo abrir un documento de Word para evitar ser infectado con virus o también, que Microsoft había cerrado el agujero de seguridad de Word que permitía hackear tu PC hace solo unas semanas.

PowerPoint para colar malware

Sin embargo, en esta ocasión las macros no han tenido nada que ver y ni siquiera es necesario tenerlas activadas para que el ataque resulte un éxito. Mediante una nueva técnica de ingeniera social son capaces de ejecutar comandos PowerShell embebidos dentro de un documento PowerPoint (PPT).

Además, el código malicioso escondido dentro de los documentos se activa cuando el usuario pasa el ratón por encima. Esto desencadena un proceso por el que se descarga contenido adicional de Internet que es el que realmente infecta el equipo. Los miembros de la firma de seguridad SentinelOne han sido los encargados de descubrirlo.

Se cree que un grupo de hackers habrían infectado varios documentos de PowerPoint para “colar” el troyano bancario Zusy, también conocido como ‘Tinba’ (Tiny Banker), en ordenadores. Este virus fue descubierto en 2012 y cuenta con la habilidad de monitorizar el tráfico para conseguir datos bancarios de los infectados, como tokens de autenticación o números de tarjetas de crédito.

Los documentos de PowerPoint infectados se distribuían a través de correos SPAM bajo el asunto “Purchase Order” (orden de compra). Cuando el usuario “pasaba” el ratón sobre el documento, el código PowerShell se ejecutaba automáticamente. El mecanismo de seguridad presente en Office, muestra un aviso para permitir o no la ejecución.

Si el usuario “pasa” del aviso de seguridad, como muchas veces hacemos “por defecto”, el programa malicioso contacta con cccn.nl para descargar todos lo necesario para infectar el equipo con el troyano.