Proofpoint ha detectado un incremento en el uso de una nueva táctica de ingeniería social: Esta técnica persuade a los usuarios a copiar y pegar scripts maliciosos en PowerShell, resultando en la infección de sus dispositivos con malware. Los atacantes, incluyendo el grupo TA571 y el colectivo CrearFake, están utilizando este método para propagar diversos tipos de malware como DarkGate, Matanbuchus, NetSupport, y diferentes info stealers.
La estrategia utilizada es bastante consistente sin importar cómo se inicie la campaña. Se presenta a los usuarios una ventana emergente indicando un error al intentar abrir un documento o una página web, proporcionando instrucciones para copiar y pegar un script malicioso en PowerShell o en el cuadro de diálogo Ejecutar de Windows y luego ejecutarlo.
Está claro que este método de ataque requiere la interacción del usuario para tener éxito. Que estos ciberdelincuentes usen mensajes de error y notificaciones falsas en sus estrategias de ingeniería social es muy inteligente, ya que proporcionan tanto un problema como su solución para que la víctima pueda tomar medidas inmediatamente sin pararse a pensar en los posibles riesgos”, explican desde el equipo de investigación de Proofpoint.
PowerShell en alerta
El script malicioso es copiado al portapapeles mediante JavaScript, una técnica comúnmente utilizada en sitios web legítimos. El código malicioso se encuentra integrado en el HTML del sitio web, codificado de varias formas como Base64, Base64 inverso, o incluso en texto sin codificar en diversos elementos y funciones.
Ciberdelincuentes utilizan una nueva técnica de ingeniería social para entregar malware a través de PowerShell
La utilización de estos métodos legítimos y variados para almacenar el código malicioso, junto con el hecho de que la víctima lo ejecute manualmente sin vinculación directa a un archivo, complica la detección de estas amenazas. Los antivirus y los sistemas de EDR enfrentan dificultades para analizar el contenido del portapapeles, por lo que es crucial interceptar y bloquear el HTML o sitio web malicioso antes de que llegue a la víctima.
Al comparar la ejecución del código malicioso a través de PowerShell versus el cuadro de diálogo Ejecutar de Windows, existen diferencias importantes. Usar PowerShell requiere más pasos para abrirlo, pero una vez allí, el usuario solo necesita hacer clic derecho para pegar y ejecutar automáticamente el código, sin oportunidad de revisión previa.
En contraste, con el cuadro de diálogo Ejecutar, el proceso puede completarse rápidamente mediante combinaciones de teclas: Ctrl+R para abrir el cuadro de diálogo, Ctrl+V para pegar el código y Enter para ejecutarlo. Sin embargo, este método podría generar dudas en la víctima, quien al ver el código podría optar por cancelar la ejecución.