A los piratas informáticos les gusta manipular aplicaciones y herramientas de software legítimas para llevar a cabo sus actividades maliciosas, y Microsoft Word se convierte en el último programa utilizado por los delincuentes para difundir malware de cifrado de archivos y / o troyanos para robar dinero de las empresas.
Los investigadores de seguridad han descubierto un nuevo esquema de piratas informáticos en el que disfrazan un documento de Word creado especialmente desarrollado a partir de la herramienta de explotación Microsoft Word Intruder para penetrar en el ecosistema de Word y crear una apertura para el malware.
Una vez que un usuario abre el archivo adjunto en un correo electrónico, un vector de ataque típico empleado por los piratas informáticos, el malware comenzará a infectar la computadora de la víctima. Los expertos en seguridad advierten contra la apertura de archivos adjuntos contenidos en un correo electrónico enviado por una persona desconocida o una organización que pretende ser, por ejemplo, un grupo benéfico o una lotería o una empresa de servicios financieros conocida que le ofrece sus productos.
Más específicamente, el ataque Hawkeye se ha dirigido a muchas personas, generalmente empleados de una empresa. Hasta ahora, el ataque ha robado cientos de miles de dólares de las empresas. El malware funciona para bloquear los sistemas informáticos con problemas sin parche al desarrollar o comprar un documento de Word. El archivo de Word también contiene varios tipos de virus y depende del pirata informático qué tipo de virus instalar en el sistema de la víctima. Según los investigadores que detectaron el esquema de ataque, Hawkeye contiene un keylogger.
Dado que el objetivo es el sector empresarial, los piratas informáticos difundirían el archivo de Word malicioso a diferentes empleados de muchas empresas, generalmente a los que trabajan en el departamento de finanzas. Los piratas informáticos indicarán en el correo electrónico aparentemente legítimo que están enviando una solicitud de cotización o un pedido. Por lo general, los correos electrónicos como este serán bienvenidos ante la perspectiva de un trato comercial.
El keylogger funciona instalándose cuando el empleado abre el documento de Word, sin que la víctima lo sepa. Una vez instalado, el registrador de teclas realiza un seguimiento del nombre de usuario y la contraseña del correo electrónico corporativo de un empleado y utiliza los datos robados para iniciar sesión en la cuenta de correo electrónico corporativo. Los piratas informáticos utilizarían el privilegio para enviar otro mensaje de correo electrónico a un cliente alegando que se ha reemplazado el número de cuenta bancaria para el pago, que en realidad es la cuenta bancaria de los piratas informáticos.
Según los investigadores de seguridad, el pago por este tipo de ataque podría llegar a más de 1 millón de dólares, por lo que, aunque hay pocos incidentes relacionados con un esquema de este tipo, el pago de alto valor aún lo convierte en un gran problema. Nuevamente, la mejor manera de contrarrestar esto es no abrir correos electrónicos no solicitados.
