Descubren cómo minar criptomonedas con código oculto en hojas de Excel

Escrito por Rubén Velasco

Microsoft anunció hace dos días una serie de novedades para Office, concretamente para Excel. A finales del año pasado os contamos que Microsoft podría estar pensando en incluir un nuevo lenguaje de programación en Excel, siendo Python el más solicitado por la comunidad de usuarios. Sin embargo, parece que Microsoft cumplió parte de las predicciones y anunció la llegada del nuevo lenguaje de programación a sus hojas de cálculo, aunque en vez de Python la compañía ha optado por JavaScript.

Los compañeros de SoftZone nos contaban ayer mismo que JavaScript ha llegado a Excel como nuevo lenguaje de programación para las funciones que realicemos en estas hojas de cálculo. Este nuevo lenguaje de programación sustituye a Visual Basic for Applications y brinda a los usuarios mayor flexibilidad a la hora de realizar funciones más complejas y personalizadas y, además, automatizar ciertas tareas mediante la creación de script.

Sin embargo, no han pasado ni dos días desde la llegada de JavaScript a Excel y expertos de seguridad ya han podido demostrar lo fácil que va a ser poder ocultar malware dentro de las hojas de cálculo, malware que, como se ha creado en esta ocasión, podrá utilizar el ordenador de los usuarios para minar criptomonedas.

Un script JavaScript en una hoja de Excel podría minar criptomonedas en nuestro ordenador

El investigador de seguridad Chase Dardaman empezó a probar la seguridad de la implementación de JavaScript en Excel tan pronto como Microsoft la hizo pública y pudo acceder al plugin para habilitar esta característica. En poco tiempo pudo conseguir lo que muchos temían, y es que Microsoft no ha limitado adecuadamente las funciones de este lenguaje de programación, por lo que cualquier cosa que pueda hacer un malware utilizando código JavaScript se podrá ocultar muy fácilmente en Excel, poniendo en peligro a los usuarios.

Excel JavaScript Coinhive

En esta ocasión, el investigador de seguridad ha creado una prueba de concepto (PoC) que demuestra que, efectivamente, se puede poner en peligro a los usuarios utilizando esta técnica, aunque no ha publicado su prueba de concepto, por lo que, aún, nadie puede acceder a ella. De todas formas, implementar este código malicioso en Excel es tan simple que es solo cuestión de tiempo (poco tiempo, además) que los piratas informáticos descubran cómo conseguir esto y empiecen a explotar este fallo de seguridad de forma masiva.

Cómo protegernos de esta amenaza que se puede ocultar en Excel tan fácilmente

Por el momento, Microsoft no ha hablado sobre la posibilidad de utilizar JavaScript para ocultar malware dentro de las hojas de cálculo de Excel, aunque aún está a tiempo (dado que esta función está en fase beta) de poner más controles y limitaciones para evitar que los piratas informáticos puedan hacer esto.

Además, como siempre recomendamos, es muy importante tener sentido común a la hora de abrir documentos, intentando evitar siempre abrir todos aquellos que nos vengan a través del correo o que descarguemos por Internet de los que no estemos seguros al 100% de que se trata de un remitente de confianza y un documento que estábamos esperando.

¿Qué opinas de la llegada de JavaScript a Excel?

Fuente > Charles Dardaman