Volver al Hub

La evolución de LeakNet: Sitios web comprometidos y cargadores en memoria como arma

El panorama de la ciberseguridad está siendo testigo de un cambio sofisticado en las técnicas de acceso inicial del ransomware. La operación de ransomware LeakNet, un actor de amenazas conocido, ha refinado y convertido en arma un método de ingeniería social llamado "ClickFix", trasladando su punto de ejecución desde los buzones de correo electrónico a sitios web legítimos comprometidos. Esta evolución marca un giro significativo hacia la explotación de infraestructuras web de confianza y el aprovechamiento de la ejecución sin archivos (fileless) en memoria para eludir las defensas tradicionales.

Del Correo a los Sitios Web Infectados: El Nuevo Vector de Ataque

Tradicionalmente, los ataques ClickFix llegaban por correo electrónico. Un usuario recibía un mensaje que afirmaba que su navegador tenía un problema (como un códec de video faltante) y se le indicaba que copiara y ejecutara un comando de PowerShell para "solucionarlo". Este comando descargaría y ejecutaría malware. La innovación de LeakNet consiste en plantar esta trampa de ingeniería social directamente en sitios web hackeados. Los visitantes de estos sitios comprometidos, pero por lo demás de apariencia legítima, se encuentran con una ventana emergente o un mensaje de alerta que imita un error del navegador. El mensaje insta al usuario a presionar una combinación de teclas (como F12) para abrir la consola de desarrollo del navegador, pegar un comando proporcionado y ejecutarlo. Al alojar el señuelo en un sitio web real, los atacantes eluden los filtros de correo y explotan la confianza inherente que los usuarios depositan en los sitios que visitan intencionadamente.

La Carga Útil Furtiva: Cargador en Memoria Deno

El comando inicial de PowerShell es solo el punto de entrada. Su función principal es recuperar y ejecutar una carga útil de segunda etapa: un cargador en memoria Deno. Deno es un entorno de ejecución moderno para JavaScript/TypeScript, similar a Node.js, que los actores de amenazas están abusando cada vez más debido a sus potentes capacidades de scripting y su presencia legítima en muchos entornos.

Este cargador se ejecuta completamente en memoria (una técnica fileless), lo que significa que no se escribe ningún ejecutable malicioso en el disco duro de la víctima. Esto le permite evadir las soluciones antivirus y de detección en endpoints que dependen del escaneo de archivos. La función del script Deno es actuar como un descargador furtivo. Se conecta al servidor de comando y control (C2) del atacante, recupera la carga útil final del ransomware LeakNet y la inyecta directamente en la memoria para su ejecución. Este enfoque multi-etapa y sin archivos crea un desafío formidable para la detección, dejando evidencia forense mínima en el disco.

Conectando los Puntos: Una Tendencia Más Amplia en las Tácticas

Esta evolución de LeakNet no es un incidente aislado, sino parte de una tendencia más amplia en la que los actores de amenazas avanzados están minimizando el uso de archivos de malware tradicionales. El incidente referido sobre los hackers 'Stryker', que presuntamente borraron decenas de miles de dispositivos sin desplegar ningún malware, subraya este cambio. Si bien el caso Stryker involucró un borrado destructivo mediante herramientas administrativas legítimas (una técnica conocida como "living-off-the-land" o LOTL), comparte una filosofía central con el nuevo método de LeakNet: abusar de herramientas y plataformas de confianza para lograr objetivos maliciosos.

En el caso de LeakNet, las plataformas de confianza son los sitios web legítimos y el entorno de ejecución Deno. Esta convergencia de ingeniería social, compromiso de sitios web y técnicas LOTL/fileless representa una maduración del panorama de amenazas cibernéticas. Los atacantes están construyendo resiliencia en sus operaciones al reducir las dependencias de malware personalizado que es fácilmente bloqueado o detectado.

Impacto y Recomendaciones para la Comunidad de Ciberseguridad

El impacto de esta evolución es alto. Expande la superficie de ataque más allá del perímetro corporativo. Los empleados que visitan un blog de la industria, un sitio de noticias o un portal de descarga de software comprometidos podrían activar inadvertidamente la cadena de infección. Las defensas ahora deben tener en cuenta las amenazas que se originan en la web abierta, no solo en correos maliciosos o ataques directos a la red.

Recomendaciones clave para la defensa incluyen:

  1. Capacitación Mejorada del Usuario: Los programas de concienciación en seguridad ahora deben cubrir esta amenaza específica. Se debe capacitar a los usuarios para que nunca ejecuten comandos sugeridos por advertencias emergentes en sitios web, especialmente aquellas que piden usar la consola de desarrollo.
  2. Modo de Lenguaje Restringido de PowerShell: Implementar políticas restrictivas para la ejecución de PowerShell, como el Modo de Lenguaje Restringido (Constrained Language Mode), para evitar la ejecución de scripts maliciosos.
  3. Detección de Comportamiento en Endpoints: Desplegar soluciones EDR (Detección y Respuesta en Endpoints) centradas en detectar comportamientos maliciosos e inyección de procesos, en lugar de depender únicamente de firmas de archivos. Buscar PowerShell sospechoso generando procesos Deno u otros entornos de ejecución de scripts.
  4. Monitoreo de Red: Monitorear las conexiones salientes para detectar procesos como Deno o PowerShell comunicándose con direcciones IP o dominios sospechosos o conocidos como maliciosos.
  5. Filtrado Web y Verificación de Integridad: Las puertas de enlace de seguridad web avanzadas que pueden inspeccionar contenido comprometido o malicioso en dominios por lo demás legítimos son cada vez más críticas.

Conclusión

La evolución ClickFix del ransomware LeakNet es un indicador claro de la naturaleza adaptativa de los cibercriminales. Al trasladar el vector de ataque a sitios web comprometidos y emplear un cargador Deno furtivo y sin archivos, han aumentado la tasa de éxito de su ingeniería social y complicado los esfuerzos de detección. Esta táctica difumina la línea entre las amenazas persistentes avanzadas y las operaciones de ransomware, exigiendo una postura de seguridad más holística y centrada en el comportamiento por parte de los defensores. La comunidad debe cambiar sus estrategias para monitorizar no solo archivos maliciosos, sino también el abuso de herramientas legítimas y plataformas web en cadenas de ataque cada vez más elaboradas.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

LeakNet Ransomware Uses ClickFix via Hacked Sites, Deploys Deno In-Memory Loader

The Hacker News
Ver fuente

Stryker hackers allegedly wiped tens of thousands of devices without using any malware

TechRadar
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Malware
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.