Simplemente pasaste el ratón y lo perdiste todo. Análisis del ataque RenderShock

Los sistemas Windows corporativos han sido atacados por una nueva forma de ataque digital llamada RenderShock. No requiere clics ni apertura de archivos adjuntos: todo ocurre completamente en segundo plano, a través de mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo.

A diferencia del malware clásico, RenderShock utiliza lo que se conoce como superficies de ejecución pasiva: estos son servicios que funcionan automáticamente y procesan archivos sin intervención del usuario. Entre estos puntos vulnerables se encuentran los paneles de vista previa del explorador, escáneres antivirus, servicios de indexación y herramientas de sincronización en la nube.

La idea principal del ataque es utilizar procesos del sistema de confianza para procesar archivos maliciosos predefinidos. Es suficiente con que dicho archivo se coloque en una carpeta accesible para la vista previa o indexación para que se inicie el mecanismo de infección. Esto puede ocurrir si el archivo llega por correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.

RenderShock funciona según un esquema claro de cinco etapas. Primero se crea un archivo malicioso, que puede ser un documento, imagen, acceso directo o un archivo políglota que combina varios formatos. Luego, los atacantes colocan estos archivos en ubicaciones desde donde los sistemas los recogerán de forma garantizada.

Después de esto, ocurre una activación automática cuando el archivo interactúa con uno de los componentes pasivos del sistema. Luego comienza la recolección de información, por ejemplo, mediante el envío de solicitudes DNS o la captura de hashes NTLM para el robo de credenciales. La etapa final consiste en la ejecución de código remoto o una penetración más profunda en la infraestructura.

El peligro particular de RenderShock radica en que el ataque se disfraza como una actividad estándar de procesos del sistema. Los procesos explorer.exe, searchindexer.exe o los controladores de vista previa de documentos de Microsoft Office realizan "acciones normales" y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los antivirus corporativos no monitorean la actividad de red de dichos procesos, lo que significa que no pueden reaccionar a tiempo.

Uno de los ejemplos muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede hacer que el Explorador de Windows cargue un ícono por SMB desde un servidor remoto. En este caso, el sistema transfiere automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren instantáneamente y de manera oculta.

El nuevo esquema de RenderShock demuestra claramente cuán vulnerables pueden ser incluso las operaciones rutinarias y aparentemente seguras en los entornos corporativos modernos. Las organizaciones que confían en herramientas integradas de vista previa e indexación automática deben reconsiderar su enfoque de seguridad.

Los especialistas recomiendan desactivar la vista previa de archivos, limitar el tráfico saliente SMB, endurecer la configuración de seguridad de Office y monitorear la actividad inusual por parte de los procesos relacionados con la vista previa. RenderShock pone en duda los principios fundamentales de confianza en los propios sistemas y requiere un enfoque completamente nuevo hacia la higiene digital en las empresas.