Nueva vulnerabilidad de Windows pone en peligro las contraseñas de nuestro correo electrónico
Los peligros que se refieren a nuestra seguridad y privacidad están al acecho en todo momento, especialmente si hacemos un uso intensivo de Internet, como en estos momentos nos sucede a la mayoría, en este caso se ha visto un fallo en Windows que pone en peligro nuestras contraseñas.
Y es que los atacantes, en este caso están abusando de la herramienta de comandos de la interfaz de administración de Windows para entregar un malware que roba las password de nuestras cuentas de correo electrónico. Así, vemos que los ciberdelincuentes siguen innovando y utilizando herramientas legítimas para entregar el código malicioso, por lo que con este nuevo ataque se hace uso de WMIC o “Windows Management Interface Command” para entregar el malware que roba nuestra información privada.
Cabe mencionar que el mencionado elemento de Windows WMIC, en realidad es una interfaz de línea de comandos que permite a los usuarios ejecutar operaciones WMI que se suele usar para obtener el estado de los sistemas informáticos locales o remotos. Por tanto, una vez más el uso de herramientas legítimas permite que los atacantes puedan eludir los controles de los productos de seguridad que tengamos instalados.
Esto es algo de lo que se han dado cuenta los investigadores de la firma Symantec, que observaron que los autores de malware abusaban de WMIC para descargar el malware que roba nuestra información privada. En concreto estos atacantes lo utilizan para entregar un archivo de acceso directo o .lnk a través de una URL, como enlace en el correo electrónico, o como un archivo adjunto.
De este modo se filtran nuestras contraseñas en Windows
Así, una vez que el usuario abre el archivo contiene un comando WMIC, descarga el archivo malicioso desde el servidor remoto del propio atacante. El archivo descargado desde el servidor remoto es un archivo XSL malicioso que contiene el javascript que se ejecuta usando otra aplicación legítima “mshta.exe”, utilizada al ejecutar “Microsoft HTML Application Host”. Los investigadores que lo han descubierto afirman que el JavaScript contiene una lista de 52 dominios y elige una URL aleatoria, así como el puerto aleatorio entre 25010 y 25099 para descargar el archivo HTA.
A continuación este fichero lanza una librería del sistema con “RegSvr32.exe”, que es un ejecutable directo y carga la DLL adicional. Con todo ello lo que logra es que los ciberdelincuentes puedan hacerse con nuestras contraseñas de correo electrónico, contraseñas almacenadas en el navegador web, hacer phishing en una red local, entre otros datos.
Por tanto se espera que, como suele ser habitual en estos casos, Microsoft ponga una solución a todo ello cuanto antes en próximas actualizaciones, mientras tanto lo mejor es no descargar nada de fuentes no fiables.