ZIP maliciosos utilizan accesos directos de Windows para descargar malware

Iniciado por AXCESS, Octubre 02, 2025, 06:58:00 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 02, 2025, 06:58:00 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La firma de investigación de ciberseguridad Blackpoint Cyber ha detectado una nueva ola de ataques de phishing que explotan la confianza de los usuarios en documentos confidenciales. Esta investigación, compartida, revela una campaña que utiliza archivos de phishing con temática de identidad.

Estos incluyen documentos certificados falsos, escaneos de pasaportes y archivos de pago para distribuir código malicioso. Al aprovechar temas de archivos familiares, los atacantes aumentan sus posibilidades de éxito y obtienen acceso inicial a los sistemas de las víctimas.

En un caso examinado para esta investigación, se envió un mensaje de phishing personalizado como archivo ZIP, dirigido específicamente a un empleado o gerente con archivos que simulaban flujos de trabajo ejecutivos rutinarios, como la verificación de identidad y la aprobación de pagos.

Cómo un simple clic puede convertirse en una pesadilla de seguridad

El ataque comienza cuando la víctima recibe lo que parece un archivo ZIP normal, pero importante. Dentro, los documentos son en realidad archivos maliciosos de acceso directo de Windows (conocidos como archivos .lnk). Cuando un usuario desprevenido hace clic en uno de estos accesos directos, este activa silenciosamente un programa oculto en segundo plano, llamado PowerShell.

El equipo del Centro de Operaciones de Seguridad (SOC) de Blackpoint observó que este script descargaba instantáneamente una carga útil camuflada desde una dirección web remota (hp05.com/gwt/). Para evitar sospechas, este archivo descargado tiene un nombre ingenioso que imita una presentación de PowerPoint; sin embargo, se guarda en el ordenador del usuario como un archivo DLL dañino, que los investigadores han identificado como "mal etiquetado deliberadamente".

'Living off the land'

Una vez que el archivo está en el ordenador del usuario, el atacante utiliza una función habitual de Windows, un programa llamado rundll32.exe, para ejecutar el malware. Para su información, el sistema operativo suele utilizar esta herramienta para tareas legítimas, pero en este caso, según la investigación de Blackpoint Cyber, los atacantes "utilizan un binario firmado de Windows para ejecutar código atacante en el contexto del usuario".

Esta táctica se denomina 'living off the land' (utilizando herramientas integradas del sistema) y, en este caso, se utiliza para simular la actividad maliciosa como operaciones normales de Windows, lo que le permite eludir numerosas herramientas de seguridad.

Explicación de la cadena de muerte (Fuente: Blackpoint Cyber)


El paso final establece una conexión para los atacantes con una dirección (faw3.com), que actúa como sistema de comando y control (C2). Esto permite a los atacantes controlar remotamente el equipo infectado, espiar los archivos del usuario y posteriormente distribuir programas más dañinos.

La característica más interesante del dropper es su sigilosa comprobación de antivirus (AV). Comprueba literalmente programas de seguridad populares como AVG, Avast y Bitdefender (buscando procesos como avgui o bdagent). Esto le permite seleccionar el archivo malicioso correcto (BD3V.ppt si hay antivirus, o NORVM.ppt si no), lo que le proporciona el plan de evasión perfecto contra productos de seguridad comunes.

En pocas palabras

El uso de un archivo de acceso directo de Windows para propagar malware no es nuevo, ya que los atacantes llevan años abusando de esta función para engañar a los usuarios y que ejecuten código malicioso. Lo que hace que esta última campaña sea notable es cómo se empaquetan y distribuyen estos accesos directos.

En lugar de archivos ejecutables obvios, el malware se oculta en archivos ZIP camuflados en documentos confidenciales. Este enfoque de ingeniería social en varias etapas, con una técnica ya conocida, hace que el ataque sea mucho más convincente, mientras que funciones adicionales como la detección antivirus y el uso de herramientas integradas de Windows le permiten eludir los controles de seguridad comunes.

Para protegerse, evite ejecutar archivos de acceso directo de forma casual. Se insta a las organizaciones a implementar políticas que prohíban la ejecución de archivos de acceso directo y a supervisar el funcionamiento de programas como PowerShell y rundll32.exe.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario