Cibercriminales utilizan discos duros virtuales para introducir RAT en ataques de phishing.

Especialistas han alertado sobre el uso indebido de discos duros virtuales en campañas de phishing, donde estos dispositivos son utilizados para introducir malware en los correos electrónicos de las víctimas. Los archivos de disco duro virtual, que usualmente tienen las extensiones .vhd y .vhdx, permiten a los usuarios crear volúmenes virtuales que funcionan como discos físicos en un entorno de Windows. Aunque tienen aplicaciones legítimas en el desarrollo de software y máquinas virtuales, los ciberdelincuentes los están empleando cada vez más para infectar sistemas.

Un estudio reciente ha indicado que estos mecanismos se están utilizando para eludir herramientas de detección como las Puertas de Enlace de Correo Electrónico Seguro (SEGs) y soluciones antivirus, permitiendo la entrega de Troyanos de Acceso Remoto (RATs). Este tipo de ataque es particularmente complicado de identificar, incluso con herramientas de escaneo avanzadas, ya que el malware permanece oculto dentro de los archivos montados.

La última campaña se centra en ataques de phishing dirigidos a hablantes de español, en la que se envían correos que contienen archivos .vhdx. Al abrir estos archivos, se ejecuta un script en Visual Basic que carga el RAT Remcos en la memoria del usuario. Además, la campaña incluye archivos autorun.inf que aprovechan las versiones más antiguas de Windows, que todavía soportan capacidades de AutoRun, mostrando así la intención de los atacantes de dirigirse a una amplia gama de posibles víctimas con diferentes configuraciones de sistema.

El AutoRun, una característica de versiones anteriores de Windows, permite que un archivo se ejecute automáticamente al montar un volumen. Los atacantes han utilizado esta función para ejecutar cargas maliciosas sin que el usuario lo sepa en sistemas donde el AutoRun está habilitado. Aunque versiones más recientes de Windows han reducido estos riesgos deshabilitando la ejecución automática, los usuarios con sistemas desactualizados siguen siendo vulnerables a la ejecución silenciosa de malware. Incluso sin el AutoRun, los atacantes pueden utilizar AutoPlay para incitar a las víctimas a ejecutar manualmente la carga maliciosa, aprovechando el factor humano para eludir los controles de seguridad.

Además, los ciberdelincuentes han logrado evadir varias SEGs al incrustar contenido malicioso dentro de archivos de disco duro virtual dentro de archivos adjuntos comprimidos, lo que les permite eludir las protecciones de proveedores de seguridad reconocidos, como Cisco y Proofpoint. Para complicar aún más la detección, manipulan los hashes de los archivos dentro de los discos duros virtuales, añadiendo datos innecesarios o modificando la asignación de espacio de almacenamiento, creando así archivos que parecen diferentes durante los escaneos pero que aún entregan el mismo payload malicioso.