Una descarga falsa de Slack está proporcionando a los atacantes un escritorio oculto en tu máquina
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador malicioso disfrazado como Slack se está distribuyendo a través de dominios de typosquatting para engañar a usuarios desprevenidos. Una vez ejecutado, instala una aplicación legítima de Slack junto con un cargador encubierto que se conecta a un servidor de comando y control, recupera una carga útil HVNC cifrada e inyecta en explorer.exe. El malware luego crea una sesión de escritorio invisible que permite a los atacantes navegar, interactuar y realizar acciones en la máquina comprometida sin que la víctima se dé cuenta. Este enfoque es particularmente peligroso en entornos donde la marca Slack es ampliamente confiada tanto por individuos como por usuarios corporativos.
Investigación
Los investigadores desempacaron el instalador y descubrieron dos archivos temporales: slack.tmp, que contenía un paquete de actualización legítimo de Squirrel, y svc.tmp, que servía como cargador malicioso. El análisis mostró que el cargador establecía persistencia a través de una clave de registro Run, resolvía dinámicamente las API de Windows en tiempo de ejecución, descargaba un DLL cifrado, lo guardaba como wmiprvse_*.tmp, y utilizaba inyección basada en secciones para cargarlo en explorer.exe. Los investigadores también observaron comunicación de salida con un servidor de comando y control a través del puerto TCP 8081. Había lógica adicional anti-análisis presente, incluyendo detección de depuradores y verificaciones de temporización de sandbox.
Mitigación
Los usuarios deben descargar Slack solo del sitio web oficial slack.com o enlaces guardados confiables y verificar las firmas digitales antes de ejecutar cualquier instalador. Las organizaciones deben habilitar protección en tiempo real capaz de bloquear dominios maliciosos conocidos y ejecutables sospechosos. Los defensores también deben monitorear el tráfico de salida no esperado a través del puerto 8081, entradas de registro Run desconocidas y procesos secundarios anormales asociados con aplicaciones de confianza. Las detecciones basadas en comportamiento pueden ayudar a identificar sesiones de escritorio ocultas y actividades relacionadas con HVNC antes de que los atacantes obtengan acceso interactivo completo.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el endpoint afectado de la red, termine el cargador malicioso y cualquier proceso relacionado con HVNC, y elimine el mecanismo de persistencia de la clave de registro Run. Debe realizarse un análisis completo de malware, y todos los dominios maliciosos e IP relacionadas deben bloquearse en todo el entorno. Cualquier credencial utilizada en la máquina comprometida debe restablecerse desde un dispositivo limpio, y el equipo de seguridad debe recopilar artefactos forenses para apoyar investigaciones y alcances adicionales.
graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[«<b>Artefacto</b> – Sitio web suplantado (typosquatted)<br/>URL: slacks.pro o debtclean-ua.sbs»] class site_typosquat artifact download_exe[«<b>Artefacto</b> – slacku20114u201149u201181.exe<br/>Ejecutable malicioso entregado desde el sitio suplantado»] class download_exe artifact run_registry[«<b>Artefacto</b> – Clave de ejecución en el Registro<br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack»] class run_registry artifact hvnc_dll[«<b>Artefacto</b> – DLL HVNC cifrada almacenada en una sección PE personalizada»] class hvnc_dll artifact c2_server[«<b>Artefacto</b> – Servidor de comando y control<br/>Puerto 8081 mediante WinHTTP»] class c2_server artifact explorer_proc[«<b>Proceso</b> – explorer.exe (shell de Windows)»] class explorer_proc process loader[«<b>Malware</b> – Componente cargador responsable de descifrado, comunicación C2 e inyección»] class loader malware mavinject[«<b>Herramienta</b> – Mavinject (Ejecución proxy mediante binarios del sistema)»] class mavinject tool initial_access[«<b>Técnica</b> – <b>T1204.001 Ejecución por el usuario: enlace malicioso</b><br/><b>Descripción</b>: La víctima hace clic en un enlace que conduce a un sitio malicioso que descarga malware automáticamente»] class initial_access technique execution_file[«<b>Técnica</b> – <b>T1204.002 Ejecución por el usuario: archivo malicioso</b><br/><b>Descripción</b>: La víctima ejecuta el archivo descargado»] class execution_file technique persistence_active_setup[«<b>Técnica</b> – <b>T1547.014 Ejecución automática en inicio o sesión: Active Setup</b><br/><b>Descripción</b>: El instalador crea una entrada de registro Run para persistencia»] class persistence_active_setup technique obfuscation[«<b>Técnica</b> – <b>T1027 Archivos o información ofuscada</b><br/><b>Descripción</b>: El cargador cifra payload, usa padding, secciones PE personalizadas y resuelve APIs en tiempo de ejecución»] class obfuscation technique embedded_payload[«<b>Subtécnica</b> – <b>T1027.009 Payload incrustado</b>»] class embedded_payload technique binary_padding[«<b>Subtécnica</b> – <b>T1027.001 Relleno de binario</b>»] class binary_padding technique compile_after_delivery[«<b>Subtécnica</b> – <b>T1027.004 Compilación después de entrega</b>»] class compile_after_delivery technique stripped_payload[«<b>Subtécnica</b> – <b>T1027.008 Payload depurado</b>»] class stripped_payload technique c2_communication[«<b>Técnica</b> – <b>T1071.001 Protocolos web (WinHTTP)</b><br/><b>Descripción</b>: El cargador se comunica con el servidor C2 mediante TCP 8081 usando WinHTTP»] class c2_communication technique reflective_loading[«<b>Técnica</b> – <b>T1620 Carga de código reflectiva</b><br/><b>Descripción</b>: La DLL HVNC se descifra en memoria y se carga de forma reflectiva»] class reflective_loading technique process_injection[«<b>Técnica</b> – <b>T1055.002 Inyección de ejecutable portátil</b><br/><b>Descripción</b>: Inyección basada en secciones en explorer.exe»] class process_injection technique system_binary_proxy[«<b>Técnica</b> – <b>T1218.013 Ejecución proxy de binarios del sistema: Mavinject</b><br/><b>Descripción</b>: Uso de Mavinject para inyectar DLL maliciosa»] class system_binary_proxy technique site_typosquat –>|alberga página maliciosa| initial_access initial_access –>|dispara descarga de| download_exe download_exe –>|ejecutado por víctima| execution_file execution_file –>|establece persistencia mediante| persistence_active_setup persistence_active_setup –>|crea| run_registry run_registry –>|carga| loader loader –>|aplica| obfuscation obfuscation –>|usa| embedded_payload obfuscation –>|usa| binary_padding obfuscation –>|usa| compile_after_delivery obfuscation –>|usa| stripped_payload loader –>|contacta| c2_server c2_server –>|habilita| c2_communication loader –>|descifra y carga| hvnc_dll hvnc_dll –>|cargado mediante| reflective_loading reflective_loading –>|inyecta en| explorer_proc explorer_proc –>|objetivo de| process_injection process_injection –>|usa| mavinject mavinject –>|ejecuta| system_binary_proxy
Flujo de Ataque
Detecciones
Posible que se haya creado un flujo de datos alternativo (ADS) (a través de file_event)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (a través de registry_event)
Ver
IOCs (HashSha256) para detectar: Una descarga falsa de Slack está dando a los atacantes un escritorio oculto en tu máquina
Ver
IOCs (SourceIP) para detectar: Una descarga falsa de Slack está dando a los atacantes un escritorio oculto en tu máquina
Ver
IOCs (DestinationIP) para detectar: Una descarga falsa de Slack está dando a los atacantes un escritorio oculto en tu máquina
Ver
Detección de inyección basada en secciones en Explorer.exe [Windows Sysmon]
Ver
Instalador falso de Slack creando una sesión de escritorio oculta [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTP identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
- Acceso Inicial – El atacante entrega un instalador troyanizado llamado
slack-4-49-81.exea través de un correo electrónico de phishing. - Ejecución – La víctima ejecuta el archivo; extrae un cargador oculto
svc.tmpto%TEMP%. - Creación de Escritorio Oculto (T1564.003) –
svc.tmpinvocaCreateProcessconSW_HIDE, ejecutando una sesión de escritorio oculta que aloja una herramienta de acceso remoto. - Persistencia (T1547.013 & T1546.016) – El cargador registra un servidor COM que se inicia automáticamente a través de un acceso directo colocado en la carpeta de Inicio, asegurando la ejecución al reiniciar.
- Posible Instalación de Rootkit (T1014) – Si es elevado,
svc.tmpdeja caer un controlador rootkit en%SystemRoot%System32driversmaldrv.sys.
- Acceso Inicial – El atacante entrega un instalador troyanizado llamado
-
Script de Prueba de Regresión: El script reproduce los pasos 2–4 con binarios inofensivos (copias de
notepad.exe) mientras preserva los nombres exactos de archivos que la regla detecta.# ------------------------------------------------- # Prueba de Regresión – Simulación de Instalador Falso de Slack # ------------------------------------------------- # 1. Preparar los binarios falsos (usar notepad.exe benigno) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Ejecutar el instalador – esto activará la regla de detección Write-Host "[*] Lanzando el instalador falso ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simular la creación de escritorio oculto (cargador) Write-Host "[*] Iniciando cargador oculto ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Crear un acceso directo en la carpeta de Inicio para emular la persistencia $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Hidden $shortcut.Save() Write-Host "[+] Simulación completa. Verifique el SIEM para eventos con imagen terminando en 'slack-4-49-81.exe' o 'svc.tmp'." -
Comandos de Limpieza: Eliminar los artefactos de prueba y cualquier acceso directo creado.
# Script de limpieza – ejecutar con el mismo contexto de usuario $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completada."