Ha surgido una nueva y sofisticada campaña de phishing, entregando el malware Deerstealer a través de archivos de acceso directo .lnk armados que explotan binarios legítimos de Windows en una técnica conocida como “Vivir fuera de la tierra” (Lolbin).
El malware se disfraza de un documento PDF legítimo llamado “Report.lnk” mientras ejecuta encubierte una compleja cadena de ataque de varias etapas que aprovecha MSHTA.EXE, una utilidad legítima de la aplicación Microsoft HTML Application Host.
El ataque representa una evolución significativa en los mecanismos de entrega de malware, utilizando las propias herramientas de Microsoft para evitar las medidas de seguridad tradicionales.
El archivo .lnk malicioso inicia una secuencia de ejecución cuidadosamente orquestada que progresa a través de múltiples binarios del sistema antes de implementar la carga útil de Deerstealer.
Este enfoque explota la confianza inherente que los sistemas de seguridad colocan en los componentes legítimos del sistema operativo, lo que hace que la detección sea sustancialmente más desafiante.
Analistas e investigadores de LinkedIn identificado Esta campaña es particularmente preocupante debido a sus sofisticadas técnicas de evasión y al abuso de la técnica del marco Mitre ATT & CK T1218.005, que cubre específicamente el uso malicioso de MSHTA.EXE.
Los investigadores señalaron que la dependencia del ataque de la resolución de la ruta dinámica y la ejecución de comando ofuscada representa un avance notable en la sofisticación de malware.
Cadena de ejecución y mecanismo de infección
La infección de Deerstealer sigue una cadena de ejecución precisa de cinco etapas: .lnk → mshta.exe → cmd.exe → Powershell → Deerstealer.
El archivo .lnk inicial invoca encubiertamente mshta.exe para ejecutar scripts fuertemente ofuscados utilizando rutas comodín para evadir los sistemas de detección basados en la firma.
Deerstealer entregado a través de ofuscated .lnk usando el abuso de lolbin (fuente – LinkedIn)
El malware resuelve dinámicamente la ruta completa a MSHTA.EXE dentro del directorio System32, lanzándolo con banderas específicas seguidas de cadenas Base64 ofuscadas.
Para mantener el sigilo durante la ejecución, las capacidades de registro y perfil están deshabilitadas, reduciendo significativamente la visibilidad forense.
El script emplea un mecanismo de decodificación de caracteres sofisticado donde los caracteres se procesan en pares, convertidos de formato hexadecimal a ASCII, luego se vuelven a montar en scripts ejecutables a través del cmdlet IEX (Invoke-Expression) de PowerShell.
Esto asegura que la lógica maliciosa permanezca oculta hasta el tiempo de ejecución, sin pasar por alto las herramientas de análisis estático.
La entrega final de la carga útil implica la resolución dinámica de URL de las matrices ofuscadas, la descarga simultánea de un documento PDF señuelo para distraer a las víctimas y la instalación silenciosa del ejecutable principal en el directorio AppData.
El PDF legítimo se abre en Adobe Acrobat como una táctica de desvío, mientras que el malware establece la persistencia.
Los indicadores clave de compromiso incluyen el dominio Tripplefury (.) COM y SHA256 Hashes FD5A2F9EED065C5767D5323B8DD928EF8724EA2EDEBA3E4C83E211EDF9FF0160 y 8F49254064D534459B7EC60BF4E21F75284FBABFAEA511268C478E15F1ED0DB9.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
