En un reciente informe de seguridad,
investigadores han identificado una nueva campaña de ciberataques conocida como
FLUX#CONSOLE, la cual pone en riesgo a millones de usuarios de Windows. Este
ataque utiliza un enfoque sofisticado para explotar preocupaciones comunes,
como problemas fiscales, y logra introducir puertas traseras en los sistemas
afectados.
El ataque FLUX#CONSOLE destaca por
unir técnicas de phishing conocidas con métodos más avanzados para burlar la
detección. Según los investigadores Den Luzvyk y Tim Peck de Securonix, la
clave de esta campaña es el uso de archivos de documento de consola común de
Microsoft (archivos .msc) para desplegar cargas maliciosas. Estos archivos, que
suelen ser utilizados para herramientas administrativas legítimas como el Visor de Eventos o el Programador de Tareas, son manipulados por los atacantes para
ejecutar código arbitrario sin consentimiento explícito del usuario.
La metodología del ataque comienza
con correos electrónicos de phishing diseñados para parecer documentos
relacionados con deducciones o reembolsos fiscales. Los usuarios desprevenidos
que interactúan con estos archivos activan una serie de eventos que terminan
con la instalación de una puerta trasera persistente en el sistema.
¿Cómo operan los atacantes?
El informe de Securonix detalla
varios pasos clave en la cadena de ataque:
- Engaño inicial: Los atacantes envían
correos electrónicos con archivos adjuntos que aparentan ser documentos PDF
relacionados con impuestos. Estos archivos tienen extensiones .msc, pero la
configuración predeterminada de Windows oculta las extensiones comunes,
facilitando el engaño. - Ejecución encubierta: Cuando el
usuario abre el archivo, se ejecuta automáticamente la Consola de
Administración de Microsoft (mmc.exe), que actúa como vehículo para desplegar
código malicioso. - Carga persistente: Los atacantes
utilizan un archivo legítimo de Windows, como Dism.exe, para cargar una
biblioteca de enlace dinámico (DLL) maliciosa. Esto no solo ayuda a evadir la
detección, sino que también asegura la persistencia del malware mediante tareas
programadas que sobreviven incluso después de reinicios del sistema. - Evasión avanzada: Se implementan
múltiples capas de ofuscación, como JavaScript altamente cifrado y malware
basado en DLL, para dificultar el análisis forense y la detección por parte de
software antivirus. De hecho, en pruebas realizadas con VirusTotal, solo 3 de
62 motores de detección identificaron el archivo como malicioso.
El uso de técnicas avanzadas en la
campaña FLUX#CONSOLE resalta el constante refinamiento de los atacantes para
burlar las defensas. Aunque Microsoft no ha emitido una declaración oficial al
respecto, el informe subraya la importancia de mantener medidas de seguridad
actualizadas y estar alerta ante correos sospechosos.
Este tipo de ataques no solo pone en
riesgo la información personal de los usuarios, sino que también puede
comprometer redes empresariales completas. Una vez que la puerta trasera está
activa, los atacantes pueden tener acceso prolongado al sistema, lo que les
permite robar datos sensibles, instalar más malware o incluso lanzar ataques
adicionales.
Cómo mitigar el riesgo de estos
ataques
Los expertos recomiendan varias
estrategias para minimizar el impacto de campañas como FLUX#CONSOLE:
- Evitar descargar archivos de fuentes
no confiables: Especialmente si no se espera el documento o si proviene de un
remitente desconocido. - Habilitar el registro detallado en
los endpoints: Esto incluye herramientas como Sysmon y el registro avanzado de
PowerShell, que pueden proporcionar mayor visibilidad sobre procesos
sospechosos. - Supervisar procesos relacionados con
mmc.exe: La aparición de procesos secundarios inusuales vinculados a este
archivo legítimo puede ser una señal de compromiso. - Actualizar regularmente el software
de seguridad: Utilizar soluciones robustas de detección y respuesta para
endpoints (EDR) puede marcar la diferencia al detectar amenazas emergentes.