Los encargados de desplegar campañas de phishing encontraron la forma de evitar que los documentos de Office cargados de malware sean detectados por algunas soluciones de software de seguridad; acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, los atacantes están eliminando los enlaces del archivo de relaciones (xml.rels) del documento infectado con malware.

Esta técnica, conocida como ‘NoRelationship Attack’, ya ha sido detectada en una campaña de spam, cuyo principal propósito era conducir a las víctimas a una página de inicio de sesión falsa para extraer sus credenciales de acceso.

Los expertos en seguridad en redes describieron el funcionamiento de esta campaña: “Un documento de Office, ya sea de Word, PowerPoint, Excel, etc., está conformado por un conjunto de archivos XML que incluyen fuente, imágenes, formato y detalles sobre objetos incrustados que integran el documento. El archivo xml.rels mapea las relaciones dentro de estos archivos y con los recursos fuera de éstos. Los documentos que incluyen enlaces a sitios web los agregan a este archivo”.

Muchas de las herramientas de filtrado de email escanean los archivos adjuntos en un mensaje comparándolos con una base de datos de sitios web maliciosos, o incluso pueden dirigirse al enlace por sí mismas. Sin embargo, muchas herramientas de seguridad omiten este paso y se limitan a verificar solamente el contenido en xmls.rels.

“Un archivo que contenga URLs que no estén incluidas en el archivo xmls.rels no podrá realizar el análisis de contenido malicioso. Estos archivos se verán en el mensaje de cualquier modo, y el usuario podría hacer clic en alguno de ellos”, afirman los especialistas en seguridad en redes.

Los usuarios que utilizan herramientas como Microsoft Exchange Online Protection o ProopfPoint son los más vulnerables al NoRelationship Attack. Por otra parte, los usuarios de herramientas como Microsoft Advanced Threat Protection o Mimecast se encuentran a salvo de esta variante de phishing.