Una nueva oleada de ataques de phishing altamente dirigidos está aprovechando una técnica clásica con un giro moderno para vulnerar departamentos financieros corporativos. Los investigadores de seguridad están rastreando una campaña activa en la que actores de amenazas distribuyen malware robador de información a través de archivos adjuntos ISO, apuntando específicamente a instituciones financieras y equipos de contabilidad. La cadena de ataque es notable por su uso del montaje de unidades virtuales para eludir controles de seguridad y desplegar un payload potente de recolección de datos.
La campaña se inicia con correos electrónicos engañosos diseñados para parecer comunicaciones bancarias legítimas. Una variante observada suplanta a instituciones bancarias alemanas como Volksbank, utilizando líneas de asunto como "Información para 2026" para crear una falsa sensación de urgencia o importancia oficial. Otros correos electrónicos imitan confirmaciones de pago o facturas, un favorito perenne para dirigirse al personal financiero que procesa regularmente dichos documentos. Los correos están diseñados para presionar al destinatario a abrir el archivo adjunto sin pensarlo dos veces.
El componente crítico de este ataque es el archivo de imagen de disco ISO (Organización Internacional de Normalización) adjunto al correo. Los archivos ISO son copias exactas de discos ópticos como CD o DVD. Cuando un usuario hace doble clic en un archivo ISO en un sistema Windows moderno, el sistema operativo lo monta automáticamente como una nueva unidad virtual de CD/DVD en el Explorador de archivos. Esta es una característica legítima y estándar de Windows.
Sin embargo, en este esquema malicioso, la unidad virtual montada no contiene documentos inofensivos. En su lugar, contiene un archivo de acceso directo malicioso (LNK). El archivo LNK suele estar disfrazado con un icono familiar, como un documento PDF, para engañar a los usuarios y que lo ejecuten. Una vez hecho clic, el archivo LNK ejecuta un script o lanza directamente un ejecutable malicioso. Este ejecutable es el payload del robador de información.
El malware stealer desplegado está diseñado para realizar un barrido exhaustivo del sistema infectado. Sus objetivos principales incluyen:
- Credenciales guardadas de navegadores web (Chrome, Edge, Firefox, etc.) y clientes de correo electrónico.
- Datos de autocompletado e historial de navegación.
- Cookies de sesión, que podrían permitir a los atacantes secuestrar inicios de sesión activos en portales bancarios o sistemas corporativos.
- Archivos de directorios específicos, buscando potencialmente hojas de cálculo financieras, informes o documentos fiscales.
- Archivos de carteras de criptomonedas y claves relacionadas.
Los datos robados se exfiltran luego a un servidor de comando y control (C2) controlado por los atacantes, quienes pueden monetizarlos mediante fraudes directos, venderlos en foros clandestinos o usarlos para ataques dirigidos posteriores como el compromiso del correo electrónico empresarial (BEC).
Por qué la técnica ISO es efectiva
Este método proporciona varias ventajas para los atacantes:
- Evitación de filtros de correo: Muchas puertas de enlace de seguridad de correo electrónico están configuradas para bloquear archivos adjuntos ejecutables (.exe, .scr) o de script (.js, .vbs). Sin embargo, los archivos ISO se bloquean menos comúnmente por defecto, ya que son formatos de archivo legítimos. Los filtros a menudo no desempaquetan y escanean el contenido del ISO, permitiendo que el archivo LNK malicioso en su interior pase desapercibido.
- Evasión de la Marca-de-la-Web (MotW): Cuando un archivo se descarga de internet o de un correo electrónico, Windows aplica un marcador de seguridad conocido como "Marca-de-la-Web". Esto puede desencadenar advertencias de SmartScreen para archivos ejecutables directos. Los archivos dentro de un ISO montado pueden no heredar este marcador de la misma manera, reduciendo potencialmente las alertas de seguridad visibles para el usuario.
- Aprovechamiento de la ingeniería social: El acto de montar un "disco" parece menos sospechoso para algunos usuarios que ejecutar directamente un archivo ejecutable. El paso adicional (abrir el ISO, luego hacer clic en el archivo dentro) también puede bajar la guardia del usuario.
Estrategias de mitigación y defensa
Para los equipos de ciberseguridad, particularmente aquellos que defienden organizaciones financieras, esta campaña subraya la necesidad de defensas en capas:
- Capacitación y concienciación del usuario: Los departamentos de finanzas deben ser entrenados para ser excepcionalmente cautelosos con los correos electrónicos inesperados con archivos adjuntos, incluso aquellos que parecen provenir de socios o bancos conocidos. Se les debe instruir para que nunca abran archivos ISO, IMG u otras imágenes de disco de fuentes no verificadas.
- Controles técnicos: Las organizaciones deberían considerar implementar Políticas de Grupo o políticas de seguridad para deshabilitar el montaje automático de archivos ISO y otras imágenes de disco a través del Explorador de Windows. Esto fuerza un proceso de revisión manual.
- Seguridad mejorada del correo electrónico: Configurar las puertas de enlace de correo para tratar los archivos ISO con alta sospecha. Implementar soluciones capaces de realizar sandboxing y desempaquetar dinámicamente archivos de archivo para inspeccionar su contenido antes de la entrega.
- Detección y Respuesta en Endpoints (EDR): Asegurarse de que las soluciones EDR estén ajustadas para detectar la creación de archivos LNK en ubicaciones inesperadas (como unidades recién montadas) y la posterior generación de procesos que exhiben un comportamiento de stealer, como el acceso masivo a credenciales desde bases de datos del navegador.
- Monitorización de red: Monitorear las conexiones a IPs o dominios maliciosos conocidos asociados con servidores C2 de malware stealer.
El resurgimiento de la entrega de infostealers basada en ISO es un recordatorio de que los actores de amenazas reempaquetan continuamente técnicas antiguas dentro de nuevos señuelos de ingeniería social. Para el objetivo de alto valor que es las finanzas corporativas, mantener la vigilancia contra tales amenazas en evolución no es solo una preocupación de TI, sino un imperativo comercial crítico.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.