30 de enero de 2024: No tomes el atajo
Gracias por leer este boletín. Si alguien te envió este boletín, es muy amable de su parte. No olvides darle las gracias. Puedes suscribirte aquí para recibir el boletín en tu bandeja de entrada.
¡Los comentarios y sugerencias son siempre bienvenidos!
Martijn
(martijn@lapsedordinary.net)
No tomes el atajo
La empresa de seguridad SentinelOne analizó una campaña reciente de malware dirigida por un actor norcoreano (vinculado al gobierno del país), cuyos objetivos incluyen organizaciones de medios de comunicación. Se refiere al actor identificado con el nombre de Scarcruft, aunque también es conocido por otros nombres, como APT37 o Reaper.
El enfoque a medios de comunicación, en este caso, presumiblemente medios que escriben sobre temas relacionados con Corea del Norte, me hizo leer el análisis con más interés. Aparte de eso, ofrece una buena oportunidad para analizar una forma bastante común de transmisión de malware.
El malware en este caso se transmitió a través de correos electrónicos con un archivo adjunto en formato .zip que, según el correo electrónico, incluye información sobre una reunión sobre derechos humanos. El archivo adjunto zip contenía siete archivos, incluido un archivo de PowerPoint y seis archivos del procesador de textos Hangul, un procesador de textos popular en Corea. Todos estos archivos son benignos y pueden dar la impresión de que no hay nada malo con el archivo adjunto.
Sin embargo, había otros dos archivos con la extensión .lnk. Esos son los que deben preocuparnos.
Es posible que no conozcas los archivos .lnk, pero seguramente los has visto antes: son archivos de acceso directo en Windows que siempre tienen oculta la extensión .lnk. Se pueden usar para abrir, por ejemplo, tu navegador favorito desde tu escritorio sin tener que copiar el programa del navegador ahí: simplemente agregas un acceso directo al programa en tu escritorio.
Sin embargo, estos accesos directos pueden hacer algo más que ejecutar un programa: pueden ejecutar un programa con ciertos argumentos, por lo que podrías, por ejemplo, crear un acceso directo en tu escritorio que abra tu navegador favorito en modo privado y cargue tu página web favorita.
Es justamente esta característica de los archivos .lnk la que comúnmente se utiliza para transmitir malware. Básicamente, estos archivos ejecutan programas legítimos de Windows que, a través de ciertos argumentos, se pueden utilizar para descargar y ejecutar contenido de Internet.
Los archivos .lnk maliciosos tienden a utilizar ofuscación en un intento de evadir la detección de los antivirus, lo que impide el análisis manual. Si quieres entender lo que hace un archivo de este tipo, lo más fácil es usar un sandbox de malware público. Triage es mi favorito, pero hay otras opciones igualmente buenas disponibles.
Si realmente te inclinas por el análisis manual, puedes utilizar la herramienta LECmd de Eric Zimmerman. Se ejecuta en Windows y deberías ejecutarla dentro de una máquina virtual (y luego deshabilitar Microsoft Defender). Para Mac o Linux hay algunos scripts disponibles en línea, pero el strings command probablemente también debería funcionar.
Una característica común de muchas de estas amenazas (incluida la reciente campaña de Scarcruft) es que, además de instalar malware, el archivo .lnk también abre un documento benigno, por lo que el usuario que abre inadvertidamente el archivo no sospechará que ha ocurrido algo malicioso, suponiendo que el antivirus no lo detecte. Probablemente lo hará, pero eso no es algo con lo que siempre debas contar.
Entonces, ¿qué puede hacer alguien a quien le preocupan este tipo de archivos? No abrir los archivos .lnk enviados por correo electrónico es un buen consejo. No puedo imaginar una buena razón por la que alguien necesitaría recibir dichos archivos por correo electrónico, pero aun así no es muy práctico: ¿cómo se supone que alguien recuerde qué extensiones de archivo son seguras?
Lo mismo ocurre con el consejo corriente de no abrir archivos adjuntos de extraños: para algunas personas, incluidas algunas que corren un alto riesgo de sufrir amenazas de seguridad, parte de su trabajo implica abrir ocasionalmente dichos correos electrónicos.
Desafortunadamente, no existe una solución simple, aunque el consejo habitual de mantener el sistema operativo actualizado y ejecutar un software antivirus siempre es de ayuda.
Aparte de eso, si realmente estás preocupado, considera utilizar una máquina virtual (como Ubuntu en VirtualBox) para abrir archivos adjuntos de correo electrónico. No es difícil de configurar técnicamente, pero también es cierto que no es un flujo de trabajo trivial al que es fácil acostumbrarse. Aunque para las personas en situaciones de alto riesgo, los flujos de trabajo complicados son desafortunadamente difíciles de evitar.
¿Qué más?
Otro archivo .lnk malicioso fue analizado por la empresa de seguridad Cyble. El señuelo en este caso es un documento sobre la solicitud de asilo en los Estados Unidos, por lo que es posible que los migrantes y refugiados fueran el objetivo de la campaña. (Cyble no menciona nada sobre el objetivo de esta campaña. Es muy probable que no sepan quiénes son los objetivos y que hayan encontrado el malware en un repositorio público como VirusTotal). El malware descargado en este caso se llama 'Metastealer' que, como su nombre indica, roba información de los dispositivos infectados.
Engage Media tiene un artículo sobre los puestos de control militares en Myanmar, donde a menudo se requiere que los que los cruzan muestren el contenido de su teléfono. Ha habido mucha discusión en la comunidad de seguridad digital en torno a los dispositivos que se revisan en las fronteras y las tecnologías que se utilizan para leer los datos de teléfonos bloqueados, pero para muchas personas, incluidas las de Myanmar, la verdadera amenaza es la de un militar que revise las cuentas de redes sociales.
No hay muchas buenas noticias provenientes de X/Twitter en estos días, pero una buena noticia es que los usuarios de iOS en los EE. UU. ahora pueden proteger su cuenta con passkeys. Las passkeys utilizan la seguridad de tu dispositivo, como un teléfono, y la autenticación (como una huella digital) que se ha configurado para iniciar sesión en los servicios en línea. Si quieres probar las passkey, passkeys.io te permite hacerlo sin tener que configurarlas para ninguna de tus cuentas reales.
Micah Lee, director de seguridad de la información en The Intercept, escribió un libro para periodistas y otros investigadores que deseen analizar datos pirateados o filtrados. Todavía no he leído el libro, pero he escuchado opiniones favorables al respecto. Puedes comprarlo en No Starch o acceder a él de forma gratuita en este sitio web dedicado. También puedes escuchar a Micah en una entrevista en el podcast Motherboard de Vice y leer una reseña escrita junto con él en The Markup.
Cosas no relacionadas con la seguridad
Un libro que disfruté: no conozco ningún libro de ficción que mencione el protocolo del dedo, aparte de The Idiot de Elif Batuman y su secuela, Either Or, que leí a fines del año pasado. Fui a la universidad aproximadamente al mismo tiempo que la narradora de los libros, Selin. Yo también usaba regularmente el protocolo del dedo para ver cuándo alguien había estado en línea por última vez. Y al igual que Selin, yo también estaba un poco confundido sobre los seres humanos, pero era mucho menos capaz que Selin para expresar dicha confusión. La cercanía hace que me fascinen ambos libros, pero también me entristece un poco que no tuviera acceso a tales lecturas cuando era estudiante. Sin embargo, Batuman escribió los dos libros mucho tiempo después de que ella fuera estudiante, así que tal vez ambos nos beneficiamos con la sabiduría de ser más viejos.
Una canción que me gustó: En Atenas, en noviembre, finalmente pude ver al grupo Magnetic Fields tocar en vivo. Fue un buen concierto. Tal vez no brillante, pero a veces lo que más importa es el mero hecho de escuchar tus canciones favoritas interpretadas en vivo. Como All My Little Words (Spotify - YouTube - YouTube Live in Athens), la canción que me introdujo a la palabra unboyfriendable. Y aunque lamentablemente el vocalista original falleció, fue maravilloso verlos actuar frente a mis ojos.
