Silencioso y rápido: un acceso directo y la tecla Ctrl bastan para controlar un ordenador
Nuevo malware se hace pasar por carpetas para esquivar la protección de Windows.
Un nuevo conjunto de malware llamado CTRL se hace pasar por una carpeta normal con una clave privada y, tras ejecutarse, convierte silenciosamente el equipo de la víctima en un punto de entrada conveniente para el control remoto. Los especialistas de Censys ARC describieron una cadena en la que un enlace malicioso en formato LNK inicia varias funciones: robo de credenciales, registro de pulsaciones de teclado, captura de sesiones de escritorio remoto y creación de un canal de comunicación oculto con el servidor del atacante.
En un directorio público, los especialistas hallaron tres archivos ejecutables sobre la plataforma .NET, compilados como un único paquete. Al preparar el informe, las muestras no estaban en VirusTotal, Hybrid Analysis ni en los informes públicos sobre ciberamenazas, por lo que se trata de una herramienta no descrita anteriormente que, al parecer, no se había propagado ampliamente.
La infección comienza con el archivo Private Key #kfxm7p9q_yek.lnk. El acceso directo se presenta como una carpeta, de modo que el usuario ve el icono habitual del directorio y puede no percibir la trampa. Dentro del acceso directo está oculta una larga instrucción de PowerShell con varias capas de codificación. Al ejecutarse, la instrucción descomprime el siguiente módulo, escribe la carga útil en el registro del sistema con apariencia de ajustes habituales del Explorador de Windows y ejecuta el código directamente desde la memoria. Ese enfoque ayuda a eludir parte de los mecanismos de defensa y dificulta el análisis del ataque.
A continuación, CTRL comprueba el nivel de privilegios y, si es necesario, intenta obtener derechos elevados mediante un esquema conocido para eludir el Control de Cuentas de Usuario. Una vez que consigue acceso, el conjunto descarga componentes adicionales, configura una presencia persistente en el sistema, abre un canal de comandos oculto y prepara el equipo para la conexión remota. Para afianzar la persistencia se usan tareas del Programador de tareas, y los archivos útiles se guardan en el registro y en directorios ocultos. Si el atacante no logra facilitar el acceso mediante cuentas existentes, el programa puede crear un usuario local oculto con privilegios de administrador y acceso por escritorio remoto.
Uno de los módulos más molestos de CTRL imita la ventana de verificación del PIN de Windows Hello. La falsificación resulta convincente: el programa toma el nombre real del usuario, la foto de la cuenta, el tema visual e incluso utiliza una animación similar a la estándar. Al mismo tiempo, el código malicioso bloquea combinaciones de teclas como Alt+Tab y Alt+F4, de modo que la víctima no pueda cerrar la ventana rápidamente ni cambiar a otra aplicación. El PIN introducido no se limita a guardarse: el programa comprueba la combinación mediante una solicitud legítima del sistema Windows. Si el código es incorrecto, la ventana muestra un error y pide intentarlo de nuevo. Si el código es correcto, el atacante obtiene credenciales ya verificadas.
Además del phishing, CTRL registra las pulsaciones de teclas y guarda los datos en el archivo C:\Temp\keylog.txt. Para el acceso remoto, el conjunto incluye un mecanismo de túnel inverso basado en FRP. A través de ese canal, el operador puede llegar al equipo de la víctima por escritorio remoto y trabajar casi como si fuera su propio equipo. Además, el programa puede activar sesiones paralelas ilimitadas de escritorio remoto modificando ajustes del sistema y la biblioteca termsrv.dll, así como falsear las notificaciones del navegador para extraer nuevos datos del usuario.
Los autores del informe consideran que CTRL es un ejemplo de una nueva oleada de paquetes privados para ataques dirigidos, donde el énfasis está menos en la cantidad de funciones y más en la discreción y la comodidad del trabajo manual dentro de un sistema ajeno. En lugar del intercambio malicioso habitual con un servidor de comando, el operador oculta la actividad dentro del túnel y la sesión de escritorio remoto. Para los defensores, ese enfoque crea un problema adicional, puesto que los indicadores de red resultan menos evidentes y muchas acciones ya ocurren en la propia máquina.