Apaga Internet y el antivirus queda ciego: hackers descubren cómo burlar la protección en segundos con un comando estándar de Windows
El “.pdf” resultó ser un virus, y el “.mp3” solo un archivo de configuración.
Los atacantes encontraron una forma sencilla de ocultar la infección frente a los sistemas de defensa: desconectar a la víctima de internet durante unos segundos. Durante ese “bache” el malware alcanza a ejecutar la siguiente etapa del ataque, y algunas protecciones de red simplemente no ven lo que ocurre.
Los especialistas de JUMPSEC descubrieron este esquema tras un correo de phishing enviado a uno de los clientes de la empresa. El mensaje estaba redactado en tailandés y se hacía pasar por un documento financiero relacionado con un pago. Dentro había una imagen con un enlace a un archivo alojado en MediaFire. Esta técnica ayuda a que el correo parezca menos sospechoso, y el archivo malicioso se mantiene fuera del sistema de correo.
El archivo descargado intentaba hacerse pasar por un documento. Su nombre terminaba en “.pdf.scr”. En Windows las extensiones de tipo conocido suelen estar ocultas, por eso el usuario podía ver solo “.pdf” y tomar el archivo por un documento habitual. En realidad la extensión “.scr” indica un ejecutable de salvapantallas, que se ejecuta como un programa.
El archivo resultó ser un archivo autoextraíble de WinRAR. Al ejecutarse el archivo extraía varios ficheros, pero la mayor parte del contenido era señuelo y no participaba en la infección. El papel principal lo desempeñaba un script VBS que lanzaba la siguiente fase del ataque.
El script estaba obstruido con llamadas innecesarias y código ficticio, pero al limpiarlo la lógica resultó bastante corta. Construía la cadena “cmd.exe” carácter por carácter para dificultar su detección estática y luego ejecutaba comandos mediante la línea de comandos. La característica principal de la cadena era que, antes de lanzar el código malicioso, el script ejecutaba ipconfig /release, cortando temporalmente la conexión de red, y una vez que el código malicioso se había iniciado devolvía la conexión con ipconfig /renew.
Esta técnica crea un breve “punto ciego” para los sistemas de protección que dependen de servicios de reputación en la nube o que necesitan enviar datos hacia el exterior. Las acciones más sospechosas se llevan a cabo cuando el equipo ya ha perdido la conexión. Al restablecerse la conexión, la siguiente etapa del malware ya está en ejecución.
Luego el ataque pasó al script AutoIt. Los atacantes usaron el intérprete legítimo AutoIt3, pero lo renombraron con la extensión “.xls”. El script malicioso fue hinchado hasta 88 MB por la gran cantidad de comentarios basura. Al depurar el código, el contenido útil se redujo aproximadamente a 65 KB.
El script comprobaba el entorno, buscaba señales de análisis y leía parámetros desde un archivo con extensión “.mp3”. En realidad ese archivo contenía la configuración en formato INI. Entre los parámetros había la ruta para persistir en el sistema, el nombre de la clave de autoinicio WindowsUpdate y el enlace al componente malicioso principal.
La carga útil principal resultó ser Remcos – un conocido programa de control remoto que los atacantes suelen usar para espiar y robar datos. En la configuración descifrada los especialistas encontraron direcciones de servidores de comando y control, el mutex Rmc-QDZ9C5, el grupo de bots selfish y el hash de la licencia de Remcos.
JUMPSEC rastrea el clúster identificado como BlackToad. Según la empresa, el grupo probablemente está relacionado con un ecosistema de ciberdelincuencia nigeriano más amplio descrito por Unit 42 como SilverTerrier, pero emplea infraestructura propia, un empaquetador y señuelos que no coinciden con subgrupos descritos anteriormente.
Los dominios de control pmitm.ddns.net, lordtoad.duckdns.org y toadshit.ddnsfree.com apuntaban a la misma dirección IPv4 197.210.55.170 y usaban el puerto 50240. Los dominios se alojaban en distintos servicios de direcciones dinámicas, lo que daba a los atacantes alternativas de reserva en caso de que se bloqueara alguno.
Las huellas de la infraestructura también conducían a los operadores móviles nigerianos MTN Nigeria y Airtel Nigeria, y parte de la actividad se realizaba a través del hosting “a prueba de balas” Pfcloud. Los especialistas consideran que el operador podría haber puesto en marcha el servidor de control mediante una conexión móvil, en vez de alquilar una infraestructura de servidor convencional.
Muestras adicionales encontradas vía VirusTotal usaban la misma ocultación de extensiones, incluidas IMG00090878900.pdf.scr y slip002030002002.JPG.scr. Una de ellas conservaba el prefijo característico SLIP en el nombre, lo que indica no un ataque aislado sino una campaña activa contra varios objetivos.
JUMPSEC vincula a BlackToad con actividad similar a la campaña BoredFluff, descrita previamente en el contexto de ataques contra empleados de hoteles mediante solicitudes falsas de huéspedes. Las coincidencias en infraestructura y en la temática de los señuelos hacen probable esa relación, aunque BlackToad destaca por la técnica propia de desconectar temporalmente la red y por su empaquetador de AutoIt.
El principal peligro de la campaña no es tanto Remcos, que ya es conocido por los equipos de defensa, sino el modo de entrega. Los comandos ipconfig /release e ipconfig /renew parecen operaciones de configuración de red ordinarias, pero en la cadena de infección permiten iniciar el código malicioso sin ser detectado por las comprobaciones en la nube.
A las organizaciones que se encuentren con archivos o dominios similares, JUMPSEC recomienda buscar indicios de actividad de Remcos. Esa actividad puede manifestarse en el registro de pulsaciones de teclado, el robo de credenciales, el seguimiento del portapapeles y la exfiltración de archivos desde el sistema.