SOC Prime Bias: Medio

17 Apr 2026 15:20 UTC

Una descarga falsa de Slack está proporcionando a los atacantes un escritorio oculto en tu máquina

Author Photo
SOC Prime Team linkedin icon Seguir
Una descarga falsa de Slack está proporcionando a los atacantes un escritorio oculto en tu máquina
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un instalador malicioso disfrazado como Slack se está distribuyendo a través de dominios de typosquatting para engañar a usuarios desprevenidos. Una vez ejecutado, instala una aplicación legítima de Slack junto con un cargador encubierto que se conecta a un servidor de comando y control, recupera una carga útil HVNC cifrada e inyecta en explorer.exe. El malware luego crea una sesión de escritorio invisible que permite a los atacantes navegar, interactuar y realizar acciones en la máquina comprometida sin que la víctima se dé cuenta. Este enfoque es particularmente peligroso en entornos donde la marca Slack es ampliamente confiada tanto por individuos como por usuarios corporativos.

Investigación

Los investigadores desempacaron el instalador y descubrieron dos archivos temporales: slack.tmp, que contenía un paquete de actualización legítimo de Squirrel, y svc.tmp, que servía como cargador malicioso. El análisis mostró que el cargador establecía persistencia a través de una clave de registro Run, resolvía dinámicamente las API de Windows en tiempo de ejecución, descargaba un DLL cifrado, lo guardaba como wmiprvse_*.tmp, y utilizaba inyección basada en secciones para cargarlo en explorer.exe. Los investigadores también observaron comunicación de salida con un servidor de comando y control a través del puerto TCP 8081. Había lógica adicional anti-análisis presente, incluyendo detección de depuradores y verificaciones de temporización de sandbox.

Mitigación

Los usuarios deben descargar Slack solo del sitio web oficial slack.com o enlaces guardados confiables y verificar las firmas digitales antes de ejecutar cualquier instalador. Las organizaciones deben habilitar protección en tiempo real capaz de bloquear dominios maliciosos conocidos y ejecutables sospechosos. Los defensores también deben monitorear el tráfico de salida no esperado a través del puerto 8081, entradas de registro Run desconocidas y procesos secundarios anormales asociados con aplicaciones de confianza. Las detecciones basadas en comportamiento pueden ayudar a identificar sesiones de escritorio ocultas y actividades relacionadas con HVNC antes de que los atacantes obtengan acceso interactivo completo.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el endpoint afectado de la red, termine el cargador malicioso y cualquier proceso relacionado con HVNC, y elimine el mecanismo de persistencia de la clave de registro Run. Debe realizarse un análisis completo de malware, y todos los dominios maliciosos e IP relacionadas deben bloquearse en todo el entorno. Cualquier credencial utilizada en la máquina comprometida debe restablecerse desde un dispositivo limpio, y el equipo de seguridad debe recopilar artefactos forenses para apoyar investigaciones y alcances adicionales.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El Chequeo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTP identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Acceso Inicial – El atacante entrega un instalador troyanizado llamado slack-4-49-81.exe a través de un correo electrónico de phishing.
    2. Ejecución – La víctima ejecuta el archivo; extrae un cargador oculto svc.tmp to %TEMP%.
    3. Creación de Escritorio Oculto (T1564.003)svc.tmp invoca CreateProcess con SW_HIDE, ejecutando una sesión de escritorio oculta que aloja una herramienta de acceso remoto.
    4. Persistencia (T1547.013 & T1546.016) – El cargador registra un servidor COM que se inicia automáticamente a través de un acceso directo colocado en la carpeta de Inicio, asegurando la ejecución al reiniciar.
    5. Posible Instalación de Rootkit (T1014) – Si es elevado, svc.tmp deja caer un controlador rootkit en %SystemRoot%System32driversmaldrv.sys.
  • Script de Prueba de Regresión: El script reproduce los pasos 2–4 con binarios inofensivos (copias de notepad.exe) mientras preserva los nombres exactos de archivos que la regla detecta.

    # -------------------------------------------------
    # Prueba de Regresión – Simulación de Instalador Falso de Slack
    # -------------------------------------------------
    # 1. Preparar los binarios falsos (usar notepad.exe benigno)
    $temp = $env:TEMP
    $installer = Join-Path $temp "slack-4-49-81.exe"
    $loader    = Join-Path $temp "svc.tmp"
    
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force
    
    # 2. Ejecutar el instalador – esto activará la regla de detección
    Write-Host "[*] Lanzando el instalador falso ..."
    Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null
    
    # 3. Simular la creación de escritorio oculto (cargador)
    Write-Host "[*] Iniciando cargador oculto ..."
    Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null
    
    # 4. Crear un acceso directo en la carpeta de Inicio para emular la persistencia
    $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
    $shortcutPath = Join-Path $startup "Slack Hidden.lnk"
    
    $shell = New-Object -ComObject WScript.Shell
    $shortcut = $shell.CreateShortcut($shortcutPath)
    $shortcut.TargetPath = $loader
    $shortcut.WindowStyle = 7   # Hidden
    $shortcut.Save()
    
    Write-Host "[+] Simulación completa. Verifique el SIEM para eventos con imagen terminando en 'slack-4-49-81.exe' o 'svc.tmp'."
  • Comandos de Limpieza: Eliminar los artefactos de prueba y cualquier acceso directo creado.

    # Script de limpieza – ejecutar con el mismo contexto de usuario
    $temp = $env:TEMP
    Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
    Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue
    
    $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
    Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue
    
    Write-Host "[+] Limpieza completada."