Existen numerosas amenazas de seguridad que pueden comprometer diversos sistemas y poner en peligro tus contraseñas y datos personales. En este artículo, te informamos sobre un nuevo problema que afecta a Windows. Hablamos de Lunar Spider, un malware que puede infectar con solo un clic. A continuación, te explicaremos sus capacidades, cómo podrías ser víctima de este ataque y qué medidas tomar para protegerte en todo momento.
Este hallazgo proviene de un informe elaborado por The DFIR, una firma de ciberseguridad, publicado el 29 de septiembre en su sitio web. El informe lleva por título «From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion». Aunque se refiere a un incidente iniciado en mayo de 2024, el informe muestra la evolución de estas amenazas y su capacidad para escalar rápidamente. El malware fue subido a VirusTotal el 9 de mayo de 2024.
Amenaza de seguridad para Windows
Según el análisis, el ataque comenzó cuando un usuario ejecutó un archivo JavaScript (identificado por The DFIR con el hash SHA-256: 9d871d79d3df095c189e339e22d1fa17dab0825cd427011dc88f2000090d3b03) que se disfrazaba de un formulario fiscal inofensivo. En realidad, ese documento ocultaba el malware. Los investigadores de seguridad detectaron que contenía un gran volumen de código basura, pero dentro de él había código ejecutable que permitía evadir los sistemas de detección.
La carga útil de JavaScript provoca la descarga de un paquete MSI desde un servidor remoto. Esto luego instala un archivo DLL de Brute Ratel (BRC4, un marco de post-explotación y control) utilizando la utilidad de Windows rundll32.
Con este método, los atacantes lograron inyectar el malware Latrodectus en el proceso explorer.exe y establecer comunicaciones de control con varios dominios proxy de CloudFlare. Esta amenaza puede dirigirse a numerosos navegadores basados en Chromium (29 en total), como Google Chrome, Microsoft Edge, Brave, entre otros. En el caso de Firefox, el ataque se enfoca en la base de datos cookies.sqlite.
Consecuencias potenciales
Lunar Spider utilizó técnicas sofisticadas de evasión, como la inyección de código en procesos legítimos de Windows, tales como explorer.exe, sihost.exe y spoolsv.exe. Además, implementaron diversos mecanismos de persistencia, que incluyen claves de registro y tareas programadas, para asegurar el acceso continuo, incluso si la víctima reinicia su sistema.
En resumen, esta campaña pone de manifiesto la constante amenaza que representan los grupos de ciberdelincuentes con recursos, así como la importancia de contar con un sistema de monitoreo de seguridad robusto y una respuesta rápida ante incidentes.
Técnicas clave de Lunar Spider
| Técnica (Táctica MITRE ATT&CK) | Proceso Utilizado | Impacto en el Sistema |
|---|---|---|
| Inyección de procesos (T1055) | Inyección de código en procesos legítimos como explorer.exe, sihost.exe. | Ejecución sigilosa del malware bajo un proceso de confianza. |
| Persistencia (T1547.001) | Creación de claves de registro en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. | El malware sobrevive a reinicios del sistema. |
| Comunicaciones Ofuscadas (T1001) | Uso de dominios C2 detrás del proxy de CloudFlare. | Ocultación del tráfico de red malicioso para evadir firewalls. |
| Robo de Credenciales (T1555) | Acceso a bases de datos de cookies (cookies.sqlite en Firefox) y claves de registro. | Exfiltración de contraseñas y sesiones de usuario. |
Cómo protegerte
Lo más importante para mantener la seguridad es aplicar el sentido común. Los piratas informáticos, sin importar las técnicas que utilicen, necesitarán que cometas un error, como hacer clic en un enlace o descargar un archivo, para que el malware se despliegue en tu sistema.
También es crucial que mantengas todo actualizado. En muchos casos, los atacantes aprovechan vulnerabilidades de seguridad en tu sistema. Podrían utilizar esto para introducir software malicioso o robar tus datos personales. Asegúrate de tener siempre las versiones más recientes.
Además de estas recomendaciones generales, considera lo siguiente:
- Bloquear la ejecución de scripts JS en clientes de correo (por ejemplo, mediante las opciones del Centro de Confianza en Office).
- Monitorear procesos inyectados en explorer.exe. Un administrador puede usar PowerShell para verificar módulos sospechosos: Get-Process -Name explorer -Module | Where-Object $_.ModuleName -match ‘witwin’.
- Filtrar el tráfico de red hacia dominios C2 conocidos (delview[.]com, gertioma[.]top).
En conclusión, una nueva amenaza puede comprometer tu sistema Windows. Es fundamental no facilitar las cosas a los atacantes y ser consciente del riesgo que conllevan los errores. Proteger al máximo Windows 11, así como cualquier otra versión, es esencial.
Preguntas frecuentes
¿Me protege un antivirus?
Un antivirus puede ser útil para detectar y eliminar malware, pero no es la única solución para mejorar tu seguridad. Es vital que mantengas todo actualizado y evites cometer errores.
¿Cómo llega este tipo de malware?
Puede llegar a través de correos electrónicos, redes sociales o al navegar por sitios web y encontrar enlaces maliciosos.
¿Afecta el malware solo a Windows?
Existen variantes de malware que afectan específicamente a ciertos sistemas, como Windows, pero también hay otras que pueden comprometer cualquier sistema operativo que utilices.
