Underc0de - La Casa de los Informáticos

Una reciente campaña de phishing, rastreada como FLUX#CONSOLE por la compañía de ciberseguridad Securonix, emplea archivos MSC (Microsoft Common Console Document) para desplegar una puerta trasera sigilosa y robar datos de sistemas comprometidos en Pakistán.

Inicio del ataque: Phishing con archivos MSC

Los investigadores Den Iuzvyk y Tim Peck señalaron que el ataque comienza con un enlace de phishing o un archivo adjunto malicioso, aunque el correo original no ha sido recuperado. La técnica principal se basa en archivos con extensiones dobles (.pdf.msc), que se hacen pasar por archivos PDF legítimos si la configuración del sistema no muestra las extensiones de archivo.

Una vez ejecutado a través de Microsoft Management Console (MMC), el archivo MSC activa un código JavaScript ofuscado que:

• Recupera y muestra un archivo señuelo.
• Carga encubiertamente un archivo DLL malicioso llamado DismCore.dll.

Un documento usado en esta campaña lleva el nombre "Reducciones de impuestos, reembolsos y créditos 2024", simulando ser un archivo legítimo de la Junta Federal de Ingresos de Pakistán (FBR).

Funcionalidad de la carga útil


La carga útil principal es una puerta trasera (backdoor) que:

• Establece contacto con un servidor remoto.
• Recibe comandos para exfiltrar datos sensibles del sistema infectado.
• Establece persistencia mediante tareas programadas.

Innovación en métodos de ataque

Los expertos destacan que esta campaña muestra una evolución en el uso de archivos MSC, similar a la explotación de archivos LNK en años anteriores. Ambos formatos facilitan la ejecución de código malicioso mientras se integran con los flujos administrativos legítimos de Windows.

Además, la complejidad del ataque se evidencia en:

• El uso de JavaScript altamente ofuscado en las etapas iniciales.
• El código malicioso oculto en la DLL para evadir detecciones.

Relación con campañas anteriores

Aunque no hay atribución definitiva, Patchwork, un conocido actor de amenazas, utilizó anteriormente un documento similar relacionado con los impuestos de FBR en diciembre de 2023.

Recomendaciones de seguridad


Para protegerse contra este tipo de ataques, se recomienda:

• Deshabilitar extensiones ocultas en los sistemas.
• Implementar herramientas de seguridad que detecten archivos MSC y actividades inusuales.
• Capacitar a los usuarios para identificar señuelos fiscales falsos.
• Utilizar soluciones de detección avanzada que analicen el comportamiento del malware.

Esta campaña destaca la constante evolución de las tácticas de phishing y la necesidad de medidas proactivas para proteger sistemas críticos frente a amenazas avanzadas.

Fuente: https://thehackernews.com