Una campaña de spam malicioso que trata de suplantar al servicio de mensajería UPS, ha demostrado cómo los desarrolladores de malware buscan nuevos métodos de infección para atacar a los usuarios.

La primera campaña analizada por el investigador de malware Bart Blaze, comienza con una notificación de falsa de UPS que transmite un archivo DOC (supuestamente la factura) y un enlace de la misma. La dirección del remitente simula que el mensaje proviene de  un correo electrónico de UPS legítimo.

El archivo adjunto y el descargado, son el mismo: un archivo DOC falso que es en realidad un archivo RTF y que contiene un exploit. Mediante el uso de la herramienta OfficeMalScanner de RTFScan, Blaze descubrió  que el archivo lleva un documento OLE vulnerable que explota una vulnerabilidad de MS Office para instalar malware en el ordenador de la víctima. En otra muestra que recibió hizo lo mismo, pero explotó otra falla de Office.

Blaze no logró descubrir  el objetivo del malware, pero se  cree que sea un troyano de minería Bitcoin o la implementación de  Zeus para robar información.

En una campaña muy similar descubierta por investigadores de Kaspersky Lab, se utiliza el mismo enfoque: un correo electrónico supuestamente legítimo que lleva un "recibo" en forma de un archivo RTF lleva en sí un archivo CPL que en realidad es un troyano bancario escrito en Delphi:

"La incorporación de archivos maliciosos en archivos RTF o DOC permite a los ciberdelincuentes eludir el filtrado de extensiones o de tipo e-mail, también les permite romper la detección por firmas AV", explican los investigadores, y agregaron que están seguros de que verán esta misma técnica  ser explotada  masivamente en el futuro.

¿Qué se puede hacer para protegerse de esto- Lo de siempre: mantener Windows y Office actualizados (los exploits utilizados son por lo general son viejos  y ya han sido  parchados) y el uso de software de seguridad. Los usuarios técnicamente más experimentados también pueden mejorar la seguridad de los archivos de Office al deshabilitar ActiveX, macros y el bloqueo de contenido externo, y los administradores de red pueden bloquear IPs vinculadas a las campañas malintencionadas.

"A pesar de que los spammers y creadores de malware han tratado la técnica de unir un archivo malicioso o publicar un enlace en el correo, no los he visto hacer eso mucho a los ninguno de los dos", comenta Blaze. "El uso de estos exploits  claro está que son de prueba de sus posibilidades. ¿Cuántos han caído o caerá en esta campaña- ¿Cuántos de estos correos fueron enviados de todos modos- No hay manera segura de saber”.