{"id":25672,"date":"2023-01-05T01:33:30","date_gmt":"2023-01-05T07:33:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25672"},"modified":"2023-01-05T01:33:30","modified_gmt":"2023-01-05T07:33:30","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/25672\/","title":{"rendered":"Mark-of-the-Web en peligro"},"content":{"rendered":"

Cuando un usuario trata de leer un documento de Office que se ha mandado por correo electr\u00f3nico o se descarg\u00f3 de un sitio web, generalmente, Microsoft Office lo abre en modo protegido. Y lo hace mediante Mark-of-the-Web (MOTW). Este mecanismo de protecci\u00f3n predeterminado de Windows marca los archivos que aparecen en tu PC desde internet, para que las aplicaciones conozcan su origen y puedan advertir sobre un potencial peligro al usuario. No obstante, tener fe ciega en la eficiencia de este mecanismo de advertencia no es tan buena idea, debido a que muchos atacantes recientemente comenzaron a usar m\u00e9todos para evitarlo. Por ejemplo, en el estudio m\u00e1s reciente de nuestros expertos de las herramientas del grupo BlueNoroff (que se piensa forma parte del grupo Lazarus), descubrieron que est\u00e1n empleando nuevos trucos para enga\u00f1ar al sistema operativo.<\/p>\n

C\u00f3mo BlueNoroff esquiva el mecanismo MOTW<\/h2>\n

El mecanismo Mark-of-the-Web funciona de esta manera: cuando un usuario (o programa) descarga un archivo de la red, el sistema de archivos NTFS le asigna el atributo \u201cdesde Internet\u201d. Pero esto no pasa siempre. Es cierto que cuando descargas un archivo, todos los ficheros obtienen este atributo. No obstante, un archivo est\u00e1 lejos de ser la \u00fanica forma de transferir un documento indirectamente.<\/p>\n

Los atacantes del grupo BlueNoroff comenzaron a experimentar con el uso de nuevos tipos de archivos para entregar documentos maliciosos. En ocasiones utilizan el formato .iso, utilizado com\u00fanmente para almacenar im\u00e1genes de discos \u00f3pticos. Otra opci\u00f3n es un archivo .vhd que suele contener un disco duro virtual. O sea, ocultan la carga real del ataque (un documento se\u00f1uelo y un script<\/em> malicioso) al interior de la imagen o del disco virtual.<\/p>\n

Puedes encontrar una descripci\u00f3n t\u00e9cnica m\u00e1s detallada de las herramientas y m\u00e9todos actualizados de BlueNoroff, as\u00ed como sus indicadores de compromiso, en el art\u00edculo publicado por nuestros expertos en el blog de Securelist<\/a>.<\/p>\n

Qui\u00e9nes son BlueNoroff y qu\u00e9 buscan<\/h2>\n

A comienzos de este a\u00f1o escribimos sobre la campa\u00f1a SnatchCrypto<\/a> destinada a robar criptomonedas. Varias se\u00f1ales en com\u00fan hacen que nuestros investigadores piensen que se trate del mismo grupo BlueNoroff. Adem\u00e1s, la actividad observada se dirige principalmente a la obtenci\u00f3n de ganancias financieras. Realmente la etapa final del ataque sigue siendo la misma: los delincuentes instalan una puerta trasera en la computadora infectada.<\/p>\n

El grupo BlueNoroff ha registrado muchos dominios que imitan a sociedades de inversi\u00f3n y capital riesgo, as\u00ed como a grandes bancos. A juzgar por los nombres de los bancos y por los documentos de se\u00f1uelo utilizados por los atacantes, su inter\u00e9s actual se encuentra \u200b\u200bprincipalmente en objetivos de habla japonesa. No obstante, hay al menos una v\u00edctima del grupo localizada en los Emiratos \u00c1rabes Unidos. Como muestra la pr\u00e1ctica, el inter\u00e9s de BlueNoroff se centra en empresas relacionadas con las criptomonedas, as\u00ed como en el \u00e1rea financiera.<\/p>\n

\u00bfC\u00f3mo protegerte?<\/h2>\n

Primero, hay que abandonar la ilusi\u00f3n de que los mecanismos de protecci\u00f3n predeterminados integrados en el sistema operativo son suficientes para proteger tu empresa. El mecanismo Mark-of-the-Web no funciona ante un empleado que abre un archivo recibido de internet y ejecuta un script<\/em> malicioso. Para que tu empresa no caiga en la trampa de los ataques de BlueNororff y otros grupos de APT similares, nuestros expertos recomiendan que:<\/p>\n