Observatorio de Amenazas

Uso de la Función de Búsqueda de Windows para Instalación de Troyanos

Escrito por Javiera González | 04-08-23

Se ha descubierto una nueva técnica de explotación de componentes del sistema Windows: los ciberdelincuentes están inyectando cargas maliciosas utilizando troyanos de acceso remoto mediante la función de búsqueda legítima del sistema operativo. Esta táctica les permite ocultar sus actividades maliciosas y dificultar su detección por las defensas de seguridad tradicionales.

Características del ataque

En esta campaña, los ciberdelincuentes redirigen a usuarios a sitios web comprometidos mediante correos electrónicos engañosos con hipervínculos o archivos adjuntos. Utilizan scripts de Java maliciosos en el sitio que realizan búsquedas remotas con el protocolo "search:". Los resultados parecen accesos directos confiables, ocultando el origen externo, engañando a los usuarios para que abran archivos maliciosos disfrazados como documentos PDF u otros íconos seguros. Esto puede llevar a ejecutar código malicioso sin que el usuario lo note.

Acceso, evasión y persistencia

Se descargan troyanos de acceso remoto (RAT) como Async RAT y Remcos RAT. Estos troyanos permiten el control remoto no autorizado del sistema infectado, robando información, monitoreando actividad, activando funciones espía y propagándose a otros dispositivos. Remcos RAT utiliza la técnica de "inyección de bytes nulos" para evadir la detección de productos de seguridad, operando de manera no detectada y manteniéndose oculta en el sistema comprometido.

Microsoft busca enfrentar estos vectores de acceso inicial, pero los adversarios podrían recurrir al controlador de protocolo URI para evadir las defensas de seguridad y propagar malware.

Control sobre el ataque

Los investigadores enfatizan la importancia de no hacer clic en URL sospechosas o descargar archivos de fuentes desconocidas para evitar cargas maliciosas a través del controlador de protocolo URI "search" / "search-ms". En este punto la concientización se vuelve una pieza clave para frenar este tipo de ataques.

Indicadores de Compromiso

Tipo Indicador

Hash

  • d6fcf0bcebcac7aa5e7b21b189dbd89f314f79871b770911a7d7b780207fb83d
  • d0b0f7842587afe7e23fc0218fd0a391996e72b1a804a6bfc33e97d9aecb6b2e
  • f21010eb8c0f2fd23c4ee941a394853597bfb90527f43f3c61bf6ce004b7f367
  • a9f132dc514d4598a29d004a38e71d3a389e43b46149a36314d2f55e20e1ebb6
  • fad17294a3fd687d75f49040c837af39ca2bb9ea84e022aa750e81ddc4cd1583
Dominios
  • dhqidgnmst61lc8gboy0qu4[.]webdav[.]drivehq[.]com
  • dhqidlu10mna2tuk2qfoaew[.]webdav[.]drivehq[.]com
  • dhqid9pjapv63d8xvji8g4s[.]webdav[.]drivehq[.]com
  • dhqidvjn6bfvi00cb0834a3[.]webdav[.]drivehq[.]com
  • dhqidvdosqx8tu0vq1h1d1g[.]webdav[.]drivehq[.]com
IP
  • 111.90.150.186
 

Prevención y mitigación

Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.

Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

Por otra parte, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Fuentes

https://thehackernews.com/2023/07/hackers-abusing-windows-search-feature.html

https://www.trellix.com/en-us/about/newsroom/stories/research/beyond-file-search-a-novel-method.html

https://thehackernews.com/2023/02/post-macro-world-sees-rise-in-microsoft.html

https://www.linkedin.com/pulse/los-piratas-informáticos-abusan-de-la-función-búsqueda-windows/?trk=article-ssr-frontend-pulse_more-articles_related-content-card&originalSubdomain=es 

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1668/

https://learn.microsoft.com/en-us/windows/win32/search/getting-started-with-parameter-value-arguments

https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/cc144083(v=vs.85)