Observatorio de Amenazas

Explotación Activa de Vulnerabilidad en Microsoft Defender SmartScreen

Escrito por Javiera González | 25-07-24

Una nueva y sofisticada campaña de ciberataques está aprovechando una vulnerabilidad crítica en Microsoft Defender SmartScreen para infectar sistemas con malware. Los atacantes están utilizando archivos LNK especialmente diseñados para engañar a SmartScreen y ejecutar código malicioso en equipos de usuarios finales.

¿Cómo funciona el ataque?

Engaño inicial 

Los atacantes envían correos electrónicos, mensajes instantáneos o publican en redes sociales enlaces que parecen legítimos pero en realidad apuntan a un archivo LNK malicioso. Estos enlaces pueden camuflarse como facturas, notificaciones de actualizaciones, ofertas especiales o cualquier otro contenido que pueda llamar la atención del usuario.

Descarga y ejecución

Al hacer clic en el enlace, el archivo LNK se descarga en el dispositivo de la víctima y se ejecuta automáticamente. Este archivo contiene instrucciones para descargar y ejecutar un archivo ejecutable malicioso, que puede ser un troyano, ransomware o cualquier otro tipo de malware.

Propagación y daño

Una vez ejecutado el malware, puede realizar diversas acciones maliciosas, como:

  • Robo de datos: Sustraer información confidencial, como credenciales de acceso, datos financieros, información personal y propiedad intelectual.
  • Cifrado de archivos: Bloquear el acceso a los archivos del usuario, exigiendo un pago de rescate para recuperarlos (ransomware).
  • Control remoto: Tomar el control del equipo infectado para realizar actividades maliciosas, como enviar spam, participar en ataques DDoS o minar criptomonedas.
  • Espionaje: Monitorear las actividades del usuario y recopilar información sobre sus hábitos en línea.

Ejemplos de ataques:

  • Simulación de facturas: Los atacantes envían un correo electrónico con un archivo adjunto LNK que parece ser una factura de un proveedor legítimo. Al hacer clic en el archivo, el usuario descarga y ejecuta un troyano bancario que roba las credenciales de su cuenta bancaria.
  • Ofertas falsas: Se publican anuncios en redes sociales o en sitios web promocionando productos o servicios a precios muy bajos. Al hacer clic en el enlace, el usuario descarga un ransomware que cifra todos sus archivos.
  • Actualizaciones falsas: Los atacantes envían mensajes falsos que alertan al usuario sobre una actualización importante de software. Al hacer clic en el enlace, se descarga un malware que abre una puerta trasera en el sistema, permitiendo a los atacantes acceder de forma remota.

Riesgos y Consecuencias:

La explotación de esta vulnerabilidad representa una amenaza grave para la seguridad de las organizaciones y los usuarios individuales. Las consecuencias de una infección pueden ser devastadoras, incluyendo:

  • Pérdidas financieras: Robo de dinero, fraude, interrupción de las operaciones comerciales.
  • Daño a la reputación: Pérdida de confianza de los clientes y socios comerciales.
  • Incumplimiento normativo: Falta de cumplimiento de regulaciones de protección de datos, como el RGPD.
  • Disrupción de los negocios: Pérdida de productividad o interrupción de los servicios críticos.

Recomendaciones:

  • Mantener los sistemas actualizados: Aplicar los parches de seguridad más recientes proporcionados por Microsoft y otros proveedores de software.
  • Ser cauteloso con los enlaces: Evitar hacer clic en enlaces de correos electrónicos, mensajes o publicaciones en redes sociales de remitentes desconocidos o sospechosos.
  • Utilizar soluciones de seguridad: Implementar un antivirus de buena reputación, un firewall y una solución de detección de intrusiones.
  • Educar a los usuarios: Realizar capacitaciones regulares a los empleados sobre cómo identificar y evitar ataques de phishing y otras amenazas cibernéticas.
  • Segmentar la red: Dividir la red en zonas de seguridad para limitar la propagación de una posible infección.
  • Realizar copias de seguridad: Hacer copias de seguridad regulares de los datos importantes y almacenarlos en un lugar seguro.
  • Verificar la autenticidad de los sitios web: Asegurarse de que los sitios web que se visitan sean legítimos y estén utilizando conexiones seguras (HTTPS).
  • Utilizar contraseñas fuertes y únicas: Crear contraseñas seguras y utilizar un administrador de contraseñas para almacenarlas de forma segura.
  • Desactivar la ejecución automática de macros: Configurar las aplicaciones de Office para que no ejecuten automáticamente macros, ya que estas pueden ser utilizadas para ejecutar código malicioso.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Fuentes

https://www.csoonline.com/article/3477067/microsoft-defender-smartscreen-bug-actively-used-in-stealer-campaign.html