Mark-of-the-Web en peligro

El grupo de APT BlueNoroff ha adoptado métodos para eludir el mecanismo Mark-of-the-Web.

Por lo general, cuando un usuario intenta leer un documento de Office que se ha enviado por correo electrónico o se ha descargado de un sitio web, Microsoft Office lo abre en modo protegido. Lo hace utilizando Mark-of-the-Web (MOTW).

Este mecanismo de protección predeterminado de Windows marca los archivos que aparecen en tu PC desde internet, para que las aplicaciones conozcan su fuente y puedan llamar la atención del usuario sobre un peligro potencial. Sin embargo, confiar ciegamente en la eficacia de este mecanismo de advertencia puede ser una mala idea, dado que últimamente muchos atacantes han comenzado a usar métodos para eludirlo. Por ejemplo, durante el reciente estudio de nuestros expertos de las herramientas del grupo BlueNoroff (que se cree que forma parte del grupo Lazarus), han descubierto que están empleando nuevos trucos para engañar al sistema operativo.

Cómo BlueNoroff esquiva el mecanismo MOTW

El mecanismo Mark-of-the-Web funciona de la siguiente forma: tan pronto como un usuario (o programa) descarga un archivo de la red, el sistema de archivos NTFS le agina el atributo “desde Internet”. Pero este atributo no siempre se adquiere. Sí que es cierto que cuando descargas un archivo, todos los ficheros obtienen este atributo. Sin embargo, un archivo está lejos de ser la única forma de transferir un documento indirectamente.

Los atacantes del grupo BlueNoroff han comenzado a experimentar con el uso de nuevos tipos de archivos para entregar documentos maliciosos. En algunas ocasiones emplean el formato .iso, comúnmente utilizado para almacenar imágenes de discos ópticos. La otra opción es un archivo .vhd que normalmente contiene un disco duro virtual. En otras palabras, ocultan la carga real del ataque (un documento señuelo y un script malicioso) dentro de la imagen o del disco virtual.

Puedes encontrar una descripción técnica más detallada de las herramientas y métodos actualizados de BlueNoroff, así como sus indicadores de compromiso, en el artículo que han publicado nuestros expertos en el blog de Securelist.

Quiénes son BlueNoroff y qué buscan

A principios de este año, ya escribimos sobre la campaña SnatchCrypto destinada a robar criptomonedas. Una serie de señales en común hacen pensar a nuestros investigadores que se trate del mismo grupo BlueNoroff. Además, la actividad observada también está dirigida principalmente a la obtención de ganancias financieras. Y, en realidad, la etapa final del ataque sigue siendo la misma: los delincuentes instalan una puerta trasera en el ordenador infectado.

El grupo BlueNoroff ha registrado muchos dominios que imitan a sociedades de inversión y capital riesgo, así como a grandes bancos. A juzgar por los nombres de los bancos, así como por los documentos de señuelo utilizados por los atacantes, actualmente están interesados ​​principalmente en objetivos de habla japonesa. Sin embargo, se ha encontrado al menos una víctima del grupo en los Emiratos Árabes Unidos. Como muestra la práctica, BlueNoroff está interesado principalmente en las empresas relacionadas con las criptomonedas, así como en el área financiera.

¿Cómo mantenerte a salvo?

En primer lugar, vale la pena abandonar la ilusión de que los mecanismos de protección predeterminados integrados en el sistema operativo son suficientes para mantener a salvo tu empresa. El mecanismo Mark-of-the-Web no puede proteger contra un empleado que abra un archivo recibido de internet y ejecute un script malicioso. Para que tu empresa no caiga en la trampa de los ataques de BlueNoroff y otros grupos de APT similares, nuestros expertos recomiendan que:

  • instales soluciones de seguridad modernas en todos los dispositivos en funcionamiento: evitarán que se ejecuten secuencias de comandos desde archivos maliciosos;
  • mantengas a tus empleados informados sobre las ciberamenazas actuales: una formación debidamente organizada les ayudará a no picar en el anzuelo de los atacantes;
  • utilices soluciones de seguridad de clase EDR y, si es necesario, emplees servicios de detección y respuesta gestionadas: permitirán la detección oportuna de actividad maliciosa en la red corporativa y ayudarán a detener el ataque antes de que se produzca un daño real.

 

Consejos