La Amenaza Silenciosa: Archivo EXE Malicioso Se Disfraza de Documento Word en Ataques Dirigidos

En el vertiginoso paisaje digital, la ciberseguridad se convierte en un campo de batalla constante, y recientemente los investigadores han identificado una táctica peligrosa: un archivo EXE malicioso que se propaga camuflado como información vinculada a filtraciones de datos personales. Este malware, que opera como una puerta trasera, ha sido diseñado para atacar a usuarios específicos, marcando un cambio en la estrategia de los actores de amenazas hacia enfoques más selectivos y sigilosos.

El modus operandi de este ataque comienza con un correo electrónico aparentemente proveniente de un equipo de investigación cibernética. El mensaje lleva consigo un archivo EXE que, a primera vista, se presenta como un inofensivo documento de Word. La astucia radica en la habilidad del malware para disfrazarse, engañando incluso a usuarios con un nivel de precaución razonable.

Cuando el usuario ejecuta el archivo EXE malicioso, se desencadena una serie de acciones en la sombra. En la carpeta %Programdata%, se generan archivos en la sección .data, y aquí es donde la maquinaria del ataque cobra vida. La mayoría de los archivos creados, excepto uno que es un documento de Word legítimo llamado ‘20231126_9680259278.doc’, están ofuscados.

Entre estos archivos ofuscados se encuentran scripts JSE maliciosos, como ‘Lomd02.png’, ‘Operador.jse’ y ‘WindowsHotfixUpdate.jse’, cada uno diseñado para ejecutar funciones específicas en el sistema comprometido. Además, se identifica un script malicioso de PowerShell llamado ‘WindowsHotfixUpdate.ps1’, agregando una capa adicional de complejidad a la amenaza.

Los investigadores advierten que la inclusión de un documento de Word legítimo en la lista de archivos generados es parte de una estrategia astuta. Este intento de engaño pretende confundir al usuario, haciéndole creer que ha abierto un archivo genuino, mientras que, en realidad, su sistema está siendo infiltrado por una amenaza oculta.

Una vez que el archivo EXE se ejecuta y los archivos ofuscados se generan en la sombra, el malware opera en las sombras. En el caso en cuestión, la conexión de comando y control (C2) estaba cerrada, ocultando la acción final del malware. Sin embargo, los expertos en ciberseguridad advierten que esta amenaza funciona como una puerta trasera, capaz de recibir comandos del actor de la amenaza y ejecutarlos en formato XML.

Lo que hace que esta amenaza sea particularmente sigilosa es que los usuarios normales no pueden detectar fácilmente la infección de sus sistemas. El archivo señuelo se ejecuta aparentemente de manera normal, ocultando el ataque en curso. En este contexto, la precaución se convierte en la primera línea de defensa.

Los expertos aconsejan encarecidamente a los usuarios que eviten abrir archivos adjuntos de correos electrónicos que provengan de fuentes no identificadas. Dado que estos archivos maliciosos están diseñados para individuos específicos, la precaución se convierte en un escudo crucial en la protección contra ataques selectivos y dirigidos.

Este descubrimiento destaca la creciente sofisticación de los actores de amenazas, quienes continúan evolucionando sus estrategias para eludir las defensas convencionales. En un mundo digital cada vez más interconectado, la conciencia y la precaución se convierten en armas esenciales para proteger nuestros sistemas y datos personales contra estas amenazas invisibles pero potencialmente devastadoras. Mantengámonos alerta y fortalezcamos nuestras defensas en este constante juego de gato y ratón en el ciberespacio.