Hackers "arqueólogos" desentierran un comando que hasta Microsoft había olvidado y lo usan para hackear
Por qué un protocolo obsoleto se convirtió en la herramienta perfecta para propagar troyanos
Un comando utilitario casi olvidado volvió a estar en el centro de atención después de que se detectara en nuevos esquemas de infección de dispositivos Windows. El mecanismo, que durante décadas se consideró un relicto de los primeros tiempos de internet, hoy se utiliza en ataques que se camuflan como comprobaciones y solicitudes inocuas ofrecidas a las víctimas en una ventana de línea de comandos.
El comando finger, en su día diseñado para obtener información sobre usuarios en servidores Unix y Linux, en el pasado también estuvo presente en Windows. Devolvía el nombre de la cuenta, el directorio personal y otra información básica. Aunque el protocolo aún se soporta, su uso prácticamente ha desaparecido. Sin embargo, para los atacantes eso es más bien una ventaja: pocos esperan ver actividad de red a través de ese canal.
Observaciones recientes mostraron que finger comenzó a emplearse en esquemas similares a ClickFix, donde los comandos para ejecutar en el dispositivo se cargan desde una fuente remota. Los especialistas llevaban tiempo advirtiendo que el comando puede funcionar como una herramienta auxiliar en Windows y utilizarse para descargar datos maliciosos.
Fue en campañas recientes donde el método evolucionó. El equipo MalwareHunterTeam facilitó una muestra de un archivo batch que consultaba a un servidor remoto mediante finger y pasaba la salida obtenida directamente al cmd para su ejecución. Los dominios involucrados en esta actividad ya no están disponibles, pero los investigadores encontraron otros ejemplos del mismo enfoque.
En Reddit ya aparecieron mensajes de las primeras víctimas: en una de las discusiones una persona describió cómo se topó con una falsificación de captcha que requería abrir el cuadro Ejecutar e introducir un comando para confirmar la «humanidad». La cadena introducida lanzaba una consulta finger a otro servidor y pasaba la salida obtenida al intérprete de Windows.
Como resultado se creó un directorio temporal, se copió el curl del sistema con un nombre aleatorio, se descargó un archivo comprimido disfrazado de PDF y se extrajo un conjunto de archivos en Python. El programa luego se ejecutó mediante pythonw.exe, tras lo cual hubo comunicación con el servidor de los atacantes y en pantalla se mostró una falsa «verificación».
El contenido del archivo indicaba un intento de robo de datos. Al mismo tiempo, el equipo MalwareHunterTeam halló otra actividad: el comando finger se empleó para cargar un conjunto de comandos casi idéntico, pero con comprobaciones adicionales. Antes de ejecutar las acciones, el script buscaba en el equipo utilidades para analizar malware —desde Process Explorer y Procmon hasta Wireshark, Fiddler y depuradores. Si se detectaban dichas herramientas, la ejecución se detenía.
Cuando no se encontraban tales herramientas, se descargaba y extraía otro archivo comprimido, también presentado como documentos PDF. En esta ocasión dentro había un paquete de administración remota NetSupport Manager. Tras la extracción, la secuencia de comandos configuraba el programador de tareas para que, en el siguiente inicio de sesión, se activara el acceso remoto.
Según BleepingComputer, todos los episodios mencionados parecen obra de un mismo grupo que utiliza un enfoque único para distribuir malware mediante las mecánicas ClickFix. El éxito de estos trucos se explica porque finger parece demasiado arcaico para generar sospechas. A los defensores se les recomienda bloquear las conexiones salientes al puerto TCP 79, por el que opera este protocolo de red.