Este ataque de phishing que ha sido detectado recientemente se está extendiendo porque, según los expertos, los atacantes tienen un especial conocimiento de las vulnerabilidades de Windows. Han encontrado una manera de atacar una gran cantidad de equipos por medio de dos pasos. Primero, el uso del archivo HTML que hemos mencionado antes. Y segundo: el código del sistema de búsqueda de Windows. En conjunto es lo que lleva a que el malware se extienda de forma imparable.
El correo es la primera amenaza
Podemos creer que, avisando como se avisa de la importancia de ser cuidadosos con la recepción de correos electrónicos, no habrá nadie que caiga víctima de ellos. Pero lo cierto es que las infecciones por email son todavía muy comunes. Uno de los motivos de ello es que cada vez se afina más la manera de atacar a los usuarios y se camuflan mejor los virus que se reciben.
En este caso concreto, los usuarios reciben un correo que tiene un archivo adjunto que les resulta familiar. Lo que hacen los atacantes es imitar uno de los archivos que recibes de forma más frecuente y replicarlo para que te confíes y lo abras. Ese adjunto en el que está el virus es, por lo que se ha visto en los ejemplos, un documento rutinario como una factura electrónica. Seguro que recibes muchas de servicios como la luz, el gas o de la fibra, así que debes tener cuidado porque esta amenaza estaría camuflada como uno de esos documentos.
Lo que resulta sospechoso es que el documento esté guardado en un archivo en formato ZIP, algo que llama la atención si te fijas en ello. Pero el almacenamiento en ZIP tiene lógica, puesto que es una técnica con la cual los hackers esconden el archivo con la intención de evadir los antivirus y otros programas de seguridad. No obstante, al mismo tiempo puede ser lo que te acabe librando de sufrir la infección.
¿Qué pasa si abres el archivo?
Eso es lo que buscan los atacantes y lo que inicia una serie de procesos de gran peligro. Cuando el archivo se abre, se ejecuta un código que se aprovecha de protocolos de Windows. Uno de los atributos del código malicioso engaña al usuario para abrir el navegador de su ordenador y redirigirlo a una web que lleve a cabo la infección. E incluso si el navegador ya está preparado para evitar estas amenazas, el virus lo tiene en cuenta e incorpora un enlace adicional en el que el usuario puede caer haciendo clic. Eso sirve como plan B para que los atacantes se aseguren de que la infección se lleva a cabo con éxito.
Después, el navegador solicita la activación de la acción de búsqueda. Y es ahí donde los atacantes aprovechan para hacer daño aprovechándose de la vulnerabilidad que tiene este protocolo. A partir de ese punto, los atacantes pueden utilizar distintos comandos y personalizar la pantalla con la que se encuentra el usuario en el navegador. En el momento en el que el usuario habilita la acción de búsqueda permite que los atacantes hagan prácticamente lo que quieran.
El sistema de búsqueda encuentra la factura en cuestión y desde ahí se lleva al usuario a acceder a un script que le permite a los atacantes realizar otras acciones peligrosas. Los expertos en seguridad de Trustwave, que son quienes han dado parte de esta amenaza, dejan abiertas las posibilidades de lo que pueda ocurrir a partir de ese momento. ¿Qué hacer en este tipo de situación? Lo primero de todo es que tengamos cuidado con los archivos adjuntos que recibimos a través de correo electrónico. Al margen de esto, desde Trustwave mencionan que hay algo que tenemos la oportunidad de hacer para evitar ser víctimas de este ataque de phishing. Se trata de ejecutar los siguientes comandos para no exponernos a que caigamos ante este problema de protocolo. Los comandos son los siguientes:
reg delete HKEY_CLASSES_ROOTsearch /f
reg delete HKEY_CLASSES_ROOTsearch-ms /f
Tal y como Trustwave ha mencionado, todavía es importante hacer un seguimiento de esta amenaza para ver cómo evoluciona y la forma en la que se desarrollará a partir de este momento. Lo más preocupante, tal y como mencionan, es el planteamiento inteligente y rebuscado del que hace uso la infección.
