{"id":28234,"date":"2023-01-03T16:43:14","date_gmt":"2023-01-03T14:43:14","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28234"},"modified":"2023-01-03T16:44:30","modified_gmt":"2023-01-03T14:44:30","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/bluenoroff-mark-of-the-web\/28234\/","title":{"rendered":"Mark-of-the-Web en peligro"},"content":{"rendered":"

Por lo general, cuando un usuario intenta leer un documento de Office que se ha enviado por correo electr\u00f3nico o se ha descargado de un sitio web, Microsoft Office lo abre en modo protegido. Lo hace utilizando Mark-of-the-Web (MOTW).<\/p>\n

Este mecanismo de protecci\u00f3n predeterminado de Windows marca los archivos que aparecen en tu PC desde internet, para que las aplicaciones conozcan su fuente y puedan llamar la atenci\u00f3n del usuario sobre un peligro potencial. Sin embargo, confiar ciegamente en la eficacia de este mecanismo de advertencia puede ser una mala idea, dado que \u00faltimamente muchos atacantes han comenzado a usar m\u00e9todos para eludirlo. Por ejemplo, durante el reciente estudio de nuestros expertos de las herramientas del grupo BlueNoroff (que se cree que forma parte del grupo Lazarus), han descubierto que est\u00e1n empleando nuevos trucos para enga\u00f1ar al sistema operativo.<\/p>\n

C\u00f3mo BlueNoroff esquiva el mecanismo MOTW<\/h2>\n

El mecanismo Mark-of-the-Web funciona de la siguiente forma: tan pronto como un usuario (o programa) descarga un archivo de la red, el sistema de archivos NTFS le agina el atributo \u201cdesde Internet\u201d. Pero este atributo no siempre se adquiere. S\u00ed que es cierto que cuando descargas un archivo, todos los ficheros obtienen este atributo. Sin embargo, un archivo est\u00e1 lejos de ser la \u00fanica forma de transferir un documento indirectamente.<\/p>\n

Los atacantes del grupo BlueNoroff han comenzado a experimentar con el uso de nuevos tipos de archivos para entregar documentos maliciosos. En algunas ocasiones emplean el formato .iso, com\u00fanmente utilizado para almacenar im\u00e1genes de discos \u00f3pticos. La otra opci\u00f3n es un archivo .vhd que normalmente contiene un disco duro virtual. En otras palabras, ocultan la carga real del ataque (un documento se\u00f1uelo y un script<\/em> malicioso) dentro de la imagen o del disco virtual.<\/p>\n

Puedes encontrar una descripci\u00f3n t\u00e9cnica m\u00e1s detallada de las herramientas y m\u00e9todos actualizados de BlueNoroff, as\u00ed como sus indicadores de compromiso, en el art\u00edculo que han publicado nuestros expertos en el blog de Securelist<\/a>.<\/p>\n

Qui\u00e9nes son BlueNoroff y qu\u00e9 buscan<\/h2>\n

A principios de este a\u00f1o, ya escribimos sobre la campa\u00f1a SnatchCrypto<\/a> destinada a robar criptomonedas. Una serie de se\u00f1ales en com\u00fan hacen pensar a nuestros investigadores que se trate del mismo grupo BlueNoroff. Adem\u00e1s, la actividad observada tambi\u00e9n est\u00e1 dirigida principalmente a la obtenci\u00f3n de ganancias financieras. Y, en realidad, la etapa final del ataque sigue siendo la misma: los delincuentes instalan una puerta trasera en el ordenador infectado.<\/p>\n

El grupo BlueNoroff ha registrado muchos dominios que imitan a sociedades de inversi\u00f3n y capital riesgo, as\u00ed como a grandes bancos. A juzgar por los nombres de los bancos, as\u00ed como por los documentos de se\u00f1uelo utilizados por los atacantes, actualmente est\u00e1n interesados \u200b\u200bprincipalmente en objetivos de habla japonesa. Sin embargo, se ha encontrado al menos una v\u00edctima del grupo en los Emiratos \u00c1rabes Unidos. Como muestra la pr\u00e1ctica, BlueNoroff est\u00e1 interesado principalmente en las empresas relacionadas con las criptomonedas, as\u00ed como en el \u00e1rea financiera.<\/p>\n

\u00bfC\u00f3mo mantenerte a salvo?<\/h2>\n

En primer lugar, vale la pena abandonar la ilusi\u00f3n de que los mecanismos de protecci\u00f3n predeterminados integrados en el sistema operativo son suficientes para mantener a salvo tu empresa. El mecanismo Mark-of-the-Web no puede proteger contra un empleado que abra un archivo recibido de internet y ejecute un script<\/em> malicioso. Para que tu empresa no caiga en la trampa de los ataques de BlueNoroff y otros grupos de APT similares, nuestros expertos recomiendan que:<\/p>\n