Proofpoint ha observado un aumento en el uso de una nueva técnica de ingeniería social que incita a los usuarios a copiar y pegar scripts maliciosos de PowerShell para infectar sus ordenadores con malware.
Los ciberdelincuentes, entre los que se encuentran el grupo TA571 y el clúster CrearFake, están utilizando este método para distribuir diferentes tipos de malware, como DarkGate, Matanbuchus, NetSupport y varios info stealers.
Independientemente de cómo se inicie la campaña, la técnica es similar: se muestra a los usuarios un pop-up con un texto que indica que se ha producido un error al intentar abrir un documento o una página web, y se proporcionan las instrucciones para copiar y pegar un script malicioso en PowerShell o en el cuadro de diálogo Ejecutar de Windows para, finalmente, ejecutarlo.
En todos los casos, el script malicioso se copia en el portapapeles a través de JavaScript, que es comúnmente utilizado en las webs legítimas. El contenido malicioso está contenido en el HTML o sitio web en varios lugares, y codificado de diferentes maneras, como Base64, Base64 inverso o incluso texto no codificado en varios elementos y funciones. El uso legítimo y las múltiples formas de almacenar el código malicioso, así como el hecho de que la víctima lo ejecute manualmente sin ninguna asociación directa con un archivo, dificultan la detección de este tipo de amenazas. Como los antivirus y los sistemas EDR tienen problemas para analizar el contenido del portapapeles, la detección y el bloqueo deben realizarse antes de que el HTML o sitio web malicioso se aparezca a la víctima.
En cuanto a la diferencia entre pedir a la víctima que ejecute el código malicioso a través de PowerShell o en el cuadro de diálogo Ejecutar de Windows, hay que tener en cuenta varios elementos. Por ejemplo, utilizando PowerShell, el usuario debe realizar más pasos para abrirlo, pero una vez dentro, sólo tiene que hacer clic con el botón derecho del ratón y el código se pegará y ejecutará automáticamente, sin dejar que la víctima lo revise primero. Cuando se utiliza el cuadro de diálogo Ejecutar, todo el proceso puede realizarse pulsando unas combinaciones de teclas: Ctrl+R para abrir el cuadro de diálogo, Ctrl+V para pegar el código y Enter para ejecutarlo. Sin embargo, con este método, la víctima podría tener dudas al ver que se pega el código y podría pulsar “cancelar” en lugar de ejecutarlo.
“Está claro que este método de ataque requiere la interacción del usuario para tener éxito. Que estos ciberdelincuentes usen mensajes de error y notificaciones falsas en sus estrategias de ingeniería social es muy inteligente, ya que proporcionan tanto un problema como su solución para que la víctima pueda tomar medidas inmediatamente sin pararse a pensar en los posibles riesgos”, explican desde el equipo de investigación de Proofpoint. “Esta nueva técnica se alinea con nuestra previsión de que los ciberdelincuentes van a ir adoptando cadenas de ataque más variadas y creativas, mejorando su ingeniería social. La clave para protegerse de estas amenazas es la formación, ya que gracias a ella los usuarios podrán identificar e informar de cualquier actividad sospechosa”.
