Mark-of-the-Web en peligro

El grupo de APT BlueNoroff ha adoptado métodos para evitar el mecanismo Mark-of-the-Web

Cuando un usuario trata de leer un documento de Office que se ha mandado por correo electrónico o se descargó de un sitio web, generalmente, Microsoft Office lo abre en modo protegido. Y lo hace mediante Mark-of-the-Web (MOTW). Este mecanismo de protección predeterminado de Windows marca los archivos que aparecen en tu PC desde internet, para que las aplicaciones conozcan su origen y puedan advertir sobre un potencial peligro al usuario. No obstante, tener fe ciega en la eficiencia de este mecanismo de advertencia no es tan buena idea, debido a que muchos atacantes recientemente comenzaron a usar métodos para evitarlo. Por ejemplo, en el estudio más reciente de nuestros expertos de las herramientas del grupo BlueNoroff (que se piensa forma parte del grupo Lazarus), descubrieron que están empleando nuevos trucos para engañar al sistema operativo.

Cómo BlueNoroff esquiva el mecanismo MOTW

El mecanismo Mark-of-the-Web funciona de esta manera: cuando un usuario (o programa) descarga un archivo de la red, el sistema de archivos NTFS le asigna el atributo “desde Internet”. Pero esto no pasa siempre. Es cierto que cuando descargas un archivo, todos los ficheros obtienen este atributo. No obstante, un archivo está lejos de ser la única forma de transferir un documento indirectamente.

Los atacantes del grupo BlueNoroff comenzaron a experimentar con el uso de nuevos tipos de archivos para entregar documentos maliciosos. En ocasiones utilizan el formato .iso, utilizado comúnmente para almacenar imágenes de discos ópticos. Otra opción es un archivo .vhd que suele contener un disco duro virtual. O sea, ocultan la carga real del ataque (un documento señuelo y un script malicioso) al interior de la imagen o del disco virtual.

Puedes encontrar una descripción técnica más detallada de las herramientas y métodos actualizados de BlueNoroff, así como sus indicadores de compromiso, en el artículo publicado por nuestros expertos en el blog de Securelist.

Quiénes son BlueNoroff y qué buscan

A comienzos de este año escribimos sobre la campaña SnatchCrypto destinada a robar criptomonedas. Varias señales en común hacen que nuestros investigadores piensen que se trate del mismo grupo BlueNoroff. Además, la actividad observada se dirige principalmente a la obtención de ganancias financieras. Realmente la etapa final del ataque sigue siendo la misma: los delincuentes instalan una puerta trasera en la computadora infectada.

El grupo BlueNoroff ha registrado muchos dominios que imitan a sociedades de inversión y capital riesgo, así como a grandes bancos. A juzgar por los nombres de los bancos y por los documentos de señuelo utilizados por los atacantes, su interés actual se encuentra ​​principalmente en objetivos de habla japonesa. No obstante, hay al menos una víctima del grupo localizada en los Emiratos Árabes Unidos. Como muestra la práctica, el interés de BlueNoroff se centra en empresas relacionadas con las criptomonedas, así como en el área financiera.

¿Cómo protegerte?

Primero, hay que abandonar la ilusión de que los mecanismos de protección predeterminados integrados en el sistema operativo son suficientes para proteger tu empresa. El mecanismo Mark-of-the-Web no funciona ante un empleado que abre un archivo recibido de internet y ejecuta un script malicioso. Para que tu empresa no caiga en la trampa de los ataques de BlueNororff y otros grupos de APT similares, nuestros expertos recomiendan que:

  • instales soluciones de seguridad modernas en todos los dispositivos en funcionamiento: evitarán que se ejecuten secuencias de comandos desde archivos maliciosos;
  • mantengas informados a tus empleados sobre las ciberamenazas actuales: una formación debidamente organizada ayudará a que no caigan en el anzuelo de los atacantes;
  • utilices soluciones de seguridad de clase EDR y, si es necesario, emplees servicios de detección y respuesta gestionadas: permitirán la detección oportuna de actividad maliciosa en la red corporativa y ayudarán a detener el ataque antes de que un daño real se produzca.
Consejos