Tu salvapantallas, caballo de Troya: la nueva técnica que permite a los hackers controlar tu PC por completo
Nueva campaña de phishing permite a ciberdelincuentes eludir sistemas de protección basados en la reputación de servicios
Los especialistas de ReliaQuest detectaron una nueva campaña de phishing, donde los atacantes ocultan el acceso remoto al sistema en el lugar más inesperado, en los archivos de protector de pantalla de Windows. Un clic en ese archivo puede instalar silenciosamente una herramienta de control remoto y dar a los atacantes el control total del equipo, mientras que externamente todo parece una operación de trabajo habitual.
A los usuarios les envían correos con una coartada profesional y un enlace para descargar supuestamente un documento desde un almacenamiento en la nube. En realidad, en el enlace hay un archivo con extensión .scr. Muchos consideran esos archivos inofensivos protectores de pantalla, pero en Windows son programas ejecutables completos. Los nombres se eligen verosímiles, como "InvoiceDetails.scr" o "ProjectSummary.scr", para reducir sospechas y fomentar su ejecución.
Al ejecutar ese archivo, en el equipo se instala silenciosamente una herramienta legítima de monitorización y administración remota. Habitualmente los administradores utilizan estos programas para dar soporte a estaciones de trabajo, por lo que los sistemas de seguridad a menudo no los consideran maliciosos. Como resultado, los atacantes obtienen acceso remoto persistente, que se camufla como actividad técnica habitual y puede no generar alertas durante mucho tiempo.
Según los investigadores, el ataque está diseñado para eludir las defensas basadas en la reputación de servicios y direcciones. Para alojar los archivos se emplean plataformas de almacenamiento en la nube populares, en lugar de la infraestructura propia de los atacantes. Esto dificulta el bloqueo y ralentiza la respuesta. Los servicios y los programas concretos pueden variar, pero el esquema en sí se repite y escala con facilidad.
Afianzados en el sistema mediante la herramienta de control remoto, los atacantes pueden moverse lateralmente por la red, extraer datos, robar cuentas y, en última instancia, desplegar cifradores. En los incidentes investigados, los expertos observaron indicios de conexión con servidores de mando y control externos, lo que apunta a la preparación de las fases siguientes de la intrusión.
Los especialistas señalan que el problema está en gran medida relacionado con la subestimación de los archivos .scr y la confianza excesiva en las herramientas legítimas de soporte remoto. En muchas organizaciones, dichas herramientas están permitidas por defecto y las políticas de ejecución de aplicaciones no restringen los protectores de pantalla como archivos ejecutables. Esto es lo que aprovechan los atacantes.
Los especialistas recomiendan tratar los archivos de protector de pantalla con el mismo rigor que los programas habituales. Se aconseja prohibir o restringir estrictamente la ejecución de .scr desde las carpetas de descargas y el escritorio de los usuarios, así como mantener una lista blanca de las herramientas autorizadas de administración remota y monitorizar cualquier instalación inesperada de esos agentes. Además, es útil limitar el acceso a servicios de intercambio de archivos de terceros y la descarga de ejecutables desde ellos. Este enfoque reduce el riesgo de una intrusión exitosa mediante este esquema y escenarios similares.