Los piratas informáticos han usado documentos de Word y Excel durante mucho tiempo como vehículos de entrega para malware, y en 2025, estos trucos están remotamente de ser anticuados. Desde los esquemas de phishing hasta las exploits de cero clic, los archivos de oficina maliciosos siguen siendo una de las formas más fáciles en el sistema de una víctima.
Aquí están las tres mejores exploits basadas en Microsoft Office que aún hacen las rondas este año y lo que necesita asimilar para evitarlas.
1. Phishing en la oficina de MS: el protegido de los piratas informáticos todavía
Los ataques de phishing utilizando archivos de Microsoft Office han existido durante abriles, y todavía están fortaleciéndose. ¿Por qué? Porque funcionan, especialmente en entornos empresariales donde los equipos intercambian constantemente documentos de Word y Excel.
Los atacantes saben que las personas están acostumbradas a cascar archivos de oficina, especialmente si provienen de lo que parece un colega, un cliente o un socio. Una cuenta falsa, un crónica compartido o una proposición de trabajo: no se necesita mucho para convencer a cierto de hacer clic. Y una vez que el archivo está franco, el atacante tiene su oportunidad.
Phishing con archivos de oficina a menudo tiene como objetivo robar credenciales de inicio de sesión. Estos documentos pueden incluir:
- Enlaces a páginas de inicio de sesión falsas de Microsoft 365
- Portales de phishing que imitan las herramientas o servicios de la compañía
- Redirige las cadenas que eventualmente aterrizan en sitios de casa recoleta de credenciales
En esta sesión de descomposición de malware.
Ver sesión de descomposición con archivo de Excel
 |
| Archivo de Excel que contiene un enlace solapado detectado en el interior de cualquiera. |
Cuando se hace clic, la víctima se lleva a una página web que muestra una comprobación de CloudFlare «Verifique que eres un humano».
 |
| La comprobación de CloudFlare pasó con cualquier interactividad automatizada de Run. |
Luego de hacer clic, hay otra redirección; Esta vez a una página de inicio de sesión de Microsoft falsa.
 |
| Enlace solapado a la página de inicio de sesión de Microsoft embustero con caracteres al azar |
A primera sagacidad, podría parecer existente. Pero en el interior de Any. La URL de inicio de sesión de Microsoft no es oficial; Está atiborrado de personajes aleatorios y claramente no pertenece al dominio de Microsoft.
Dé a su equipo la útil adecuada para detectar, investigar e informar amenazas más rápido en un entorno seguro.
Obtenga una prueba de cualquiera.
Esta página de inicio de sesión falsa es donde la víctima, sin saberlo, entrega sus credenciales de inicio de sesión directamente al atacante.
Los atacantes además se están volviendo más creativos. Finalmente, algunos documentos de phishing vienen con códigos QR integrados en ellos. Estos están destinados a ser escaneados con un teléfono inteligente, enviando a la víctima a un sitio web de phishing o activando una descarga de malware. Sin secuestro, se pueden detectar y analizar con herramientas como cualquier otra.
2. CVE-2017-11882: La explotación del editor de ecuaciones que no morirá
Descubierto por primera vez en 2017, CVE-2017-11882 todavía se explota hoy, en entornos que ejecutan versiones obsoletas de Microsoft Office.
Esta vulnerabilidad se dirige al editor de la ecuación de Microsoft, un componente raramente utilizado que era parte de las compilaciones de oficina más antiguas. Explotarlo es peligrosamente simple: solo cascar un archivo de palabras solapado puede activar la exploit. Sin macros, no se necesitan clics adicionales.
En este caso, el atacante usa la equivocación para descargar y ejecutar una carga útil de malware en segundo plano, a menudo a través de una conexión de servidor remoto.
En nuestra sesión de descomposición, la carga útil entregada fue el Agente Tesla, un conocido robador de información utilizado para capturar pulsaciones de teclas, credenciales y datos de portapapeles.
Ver sesión de descomposición con carga útil maliciosa
 |
| Correo electrónico de phishing que contiene adjunto de Excel solapado |
En la sección Mitre ATT & CK de este descomposición, podemos ver cómo cualquiera. Run Sandbox detectó esta técnica específica utilizada en el ataque:
 |
| Explotación del editor de ecuaciones detectado por cualquiera. |
Aunque Microsoft parchó la vulnerabilidad hace abriles, todavía es útil para los atacantes dirigidos a sistemas que no se han actualizado. Y con MacRos deshabilitados de forma predeterminada en las versiones más nuevas de la oficina, CVE-2017-11882 se ha convertido en un retroceso para los ciberdelincuentes que desean una ejecución garantizada.
3. CVE-2022-30190: Follina todavía está en el maniobra
Follina Exploit (CVE-2022-30190) sigue siendo un protegido entre los atacantes por una simple razón: funciona sin macros y no requiere ninguna interacción del beneficiario más allá de cascar un archivo de Word.
Follina abusa de la útil de diagnosis de soporte de Microsoft (MSDT) y URL especiales integradas en documentos de oficina para ejecutar código remoto. Eso significa que solo ver el archivo es suficiente para iniciar scripts maliciosos, a menudo basados en PowerShell, que contactan a un servidor de comando y control.
Ver sesión de descomposición con Follina
 |
| Técnica Follina detectada en el interior de cualquiera. |
En nuestra muestra de descomposición de malware, el ataque fue un paso más allá. Observamos la inscripción «Stegocampaign», que indica el uso de esteganografía, una técnica donde el malware está oculto en el interior de los archivos de imagen.
 |
| Uso de esteganografía en el ataque |
La imagen se descarga y procesa utilizando PowerShell, extrayendo la carga útil existente sin aumentar las alarmas inmediatas.
 |
| Imagen con carga útil maliciosa analizada en el interior de cualquiera. |
Para empeorar las cosas, Follina a menudo se usa en cadenas de ataque de varias etapas, combinando otras vulnerabilidades o cargas efectos para aumentar el impacto.
Lo que esto significa para los equipos que usan MS Office
Si su equipo depende en gran medida de Microsoft Office para el trabajo diario, los ataques mencionados anteriormente deberían ser una llamamiento de atención.
Los ciberdelincuentes saben que los archivos de oficina son confiables y se usan ampliamente en los negocios. Por eso continúan explotándolos. Ya sea que se trate de una hoja de Excel simple que oculta un enlace de phishing o un documento de Word que ejecuta en silencio el código solapado, estos archivos pueden presentar riesgos graves para la seguridad de su ordenamiento.
Esto es lo que su equipo puede hacer:
- Revisar cómo se manejan los documentos de la oficina internamente; Limite quién puede cascar o descargar archivos de fuentes externas.
- Use herramientas como cualquier otra. Sandbox para inspeccionar archivos sospechosos en un entorno seguro y incidental antiguamente de que cierto en su equipo los anconada.
- Refrescar todo el software de la oficina regularmente y deshabilite las características heredadas como las macros o el editor de ecuaciones cuando sea posible.
- Mantente informado Acerca de las nuevas técnicas de exploit vinculadas a los formatos de oficina para que su equipo de seguridad pueda objetar rápidamente.
Analizar malware móvil con cualquier soporte de OS de Android de cualquiera.
La amenaza no se detiene en los archivos de la oficina. Los dispositivos móviles ahora son un objetivo secreto, y los atacantes están difundiendo malware a través de aplicaciones falsas, enlaces de phishing y APK maliciosos.
Esto significa una superficie de ataque en crecimiento para las empresas y la indigencia de una visibilidad más amplia.
Con el nuevo soporte de Android OS de Any.run, su equipo de seguridad ahora puede:
- Analizar malware Android en un entorno móvil existente
- Investigue el comportamiento de APK sospechoso antiguamente de conmover a los dispositivos de producción
- Objetar a las amenazas móviles más rápido y con más claridad
- Apoye la respuesta de incidentes en los ecosistemas de escritorio y móviles
Es un gran paso con destino a la cobertura completa y está apto en todos los planes, incluidos los gratuitos.
Inicie su primer descomposición de amenazas de Android hoy y brinde a sus analistas de seguridad la visibilidad que necesitan para proteger su superficie de ataque móvil.
