Investigadores de seguridad de Kaspersky han descubierto una nueva forma de ataque que está siendo empleada para recolectar datos de los usuarios de Microsoft Word. A diferencia de los sospechosos habituales en este tipo de actividades maliciosas, no tiene que ver con macros, ni exploits de contenido dentro de los documentos, como suele ser usual.

A través de un documento de Word que luce aparentemente inofensivo, con solo texto y un par de enlaces (nada de objetos en Flash, ni macros, ni archivos ejecutables), el atacante es capaz de aprovecharse de una función del mismo Word que no ha sido documentada antes para recoger datos sobre el ordenador de la víctima.

Los investigadores detectaron este tipo de ataques al encontrarse con campañas de spear phishing, esas estafas focalizadas por correo electrónico cuyo propósito es obtener acceso no autorizado a datos confidenciales, que contenían adjuntos que no parecían ser maliciosos inicialmente.

Los emails maliciosos tenían adjunto un documento de Word con unos simples trucos para Google que lucía aparentemente limpio. Pero, usando ese documento los atacantes fueron capaces de insertar enlaces a scripts PHP de sitios maliciosos de terceros.

Cuando la persona abría el documento este era capaz de aprovecharse de una función llamada "INCLUDEPICTURE" para manipular el código y lanzar una petición a las URLs maliciosas que estaban dentro del documento. Y, de esa forma enviaban información sobre el ordenador de la víctima y su versión de Office.

Los investigadores tuvieron problemas para entender qué …