- Los expertos alertan del mal uso de los discos duros virtuales en campañas de phishing
- Las unidades virtuales se utilizan para colocar malware RAT en bandejas de entrada desprevenidas
- El vector de ataque es especialmente difícil de detectar mediante software antivirus.
Los archivos de disco duro virtual montables, normalmente en formatos .vhd y .vhdx, permiten a los usuarios crear volúmenes virtuales que actúan como unidades físicas en un entorno Windows.
Aunque estos archivos tienen usos legítimos en el desarrollo de software y máquinas virtuales, los ciberdelincuentes los explotan cada vez más para lograr sus objetivos. malwareadvirtieron los expertos.
Investigaciones recientes escritas por Inteligencia del aquelarre Reveló que estas herramientas ahora se están utilizando para eludir mecanismos de detección como Secure Email Gateways (SEG). antivirus Soluciones para eliminar troyanos de acceso remoto (RAT).
Uso creciente de archivos de disco duro virtual
Este exploit es particularmente difícil de detectar, incluso con sofisticadas herramientas de escaneo utilizadas por SEG y soluciones antivirus, ya que el malware permanece oculto dentro de los archivos instalados.
La última campaña ha cambiado su enfoque hacia ataques de phishing relacionados con currículums dirigidos a personas de habla hispana. Los mensajes de correo electrónico contienen archivos .vhdx que, cuando se abren, ejecutan un script de Visual Basic para cargar Remcos RAT en la memoria.
Esta campaña incluyó específicamente archivos autorun.inf diseñados para aprovechar versiones anteriores de Windows que aún admiten capacidades de ejecución automática, lo que demuestra la intención de los atacantes de explotar una amplia gama de víctimas potenciales con diferentes configuraciones del sistema.
La ejecución automática, una característica de versiones anteriores de Windows, permite que un archivo se ejecute automáticamente cuando se monta un volumen. Los atacantes suelen aprovechar esta característica para ejecutar cargas útiles maliciosas sin interacción del usuario en sistemas que tienen habilitada la ejecución automática.
Aunque Windows Vista y versiones posteriores mitigan este riesgo al desactivar la ejecución automática, los usuarios con sistemas más antiguos siguen siendo vulnerables a la ejecución silenciosa de malware. Incluso sin automatización, los atacantes pueden utilizar la automatización para solicitar a las víctimas que ejecuten manualmente la carga maliciosa, aprovechando el factor humano para eludir los controles de seguridad.
Los atacantes también pudieron eludir varios SEG al incorporar contenido malicioso en archivos del disco duro virtual dentro de archivos adjuntos, evitando los SEG de los principales proveedores de seguridad, como Cisco y Proofpoint.
Los actores de amenazas complican aún más la detección al manipular hashes de archivos dentro de archivos del disco duro virtual. Al agregar datos de relleno innecesarios o modificar la asignación de espacio de almacenamiento, pueden crear archivos que se ven diferentes en los análisis pero que aún entregan la misma carga maliciosa.