El malware en VBA está lejos de morir. Efectivamente, como los investigadores de Sophos recientemente señalaron, aproximadamente de 50 a 100 nuevas muestras de malware en VBA son identificadas diariamente.

Para quienes lo desconozcan, VBA (Visual Basic for Applications) es la implementación de Microsoft en Visual Basic, presente en mucho de su software en el que se incluye la suite de Office, es usado para automatizar tareas.

Desafortunadamente, si se inserta código VBA malicioso dentro de un archivo de Word, por ejemplo, este será ejecutado automaticamente cuando se abre el archivo.

Lo peor es que los atacantes ni siquiera tienen qué saber cómo programar en VBA, hay una gran cantidad de malware preconstruido que puede comprarse en línea y modificarse o adaptarse fácilmente a sus necesidades.

"Usualmente el malware en VBA no está autocontenido, en realidad actúa como un downloader", explicó Paul Ducklin de Sophos. "El VBA simplemente se coloca en línea, se conecta a un servidor bajo control de los atacantes y extrae un .EXE malicioso sin solicitar autorización".

El malware en VBA es una forma simple de distribuir malware en cubierto. Últimamente ese malware se utiliza para robo de información, es decir un info-stealer (Dridex), como troyano bancario (Zbot) o ransomware (CryptoWall).

"Los usuarios que ni siquiera soñarían con abrir archivos .EXE (programas ejecutables) recibidos por correo electrónico podrían muy bien abrir archivos .DOC y .DOCX (documentos de Word), incluso aquellos que no se esperaba recibir, éstos podrían muy bien contener programas VBA ocultos", Ducklin indica. No es ninguna novedad que los traficantes de malware continúen usándolo.

Los atacantes aún están tratando de implementar algunos cambios de manera que más usuarios sean engañados por este esquema, también con el fin de que el software antivirus y los analistas de malware tengan más problemas al identificarlo y analizarlo.

Para conseguir ese primer objetivo, están empaquetando el malware en VBA dentro de documentos que no generan sospecha: .XML, .MHTML, .RTF o .PDF. En el caso de los últimos dos, se ofusca el código malicioso y se complica a propósito, de forma que el software antivirus no pueda descartarlo.

Afortunadamente, es fácil protegerse contra la amenaza del malware en VBA al desactivar las macros de VBA en Word y otras aplicaciones que pudieran ser su objetivo y no habilitarlas si un documento poco confiable lo solicita.

También, los administradores en las empresas pueden asegurarse de que los archivos de Office con macros envíados por correo electrónico desde fuera de la organización, sean bloqueados antes de alcanzar la bandeja de entrada de los empleados.