Ciberseguridad 360 | Malware XDigo explota vulnerabilidad LNK en Windows

Investigadores de ciberseguridad han descubierto un malware basado en Go llamado XDigo que se ha utilizado en ataques dirigidos a entidades gubernamentales de Europa del Este en marzo de 2025.

Las cadenas de ataque habr�an aprovechado una colecci�n de archivos de acceso directo de Windows (LNK) como parte de un procedimiento de varias fases para desplegar el malware, seg�n ha informado la empresa francesa de ciberseguridad HarfangLab.

XDSpy es el nombre asignado a un ciberespionaje conocido por tener como objetivo agencias gubernamentales de Europa del Este y los Balcanes desde 2011. Fue documentado por primera vez por el CERT bielorruso a principios de 2020.

En los �ltimos a�os, las empresas de Rusia y Moldavia han sido blanco de varias campa�as para distribuir familias de malware como UTask, XDDown y DSDownloader que pueden descargar payloads adicionales y robar informaci�n confidencial de los hosts comprometidos.

HarfangLab afirma haber observado que el autor de la amenaza aprovechaba un fallo de ejecuci�n remota de c�digo en Microsoft Windows que se activa al procesar archivos LNK especialmente dise�ados. La vulnerabilidad (ZDI-CAN-25373) fue revelada p�blicamente por Trend Micro a principios de marzo.

"Los datos manipulados en un archivo LNK pueden hacer que el contenido peligroso del archivo sea invisible para un usuario que inspeccione el archivo a trav�s de la interfaz de usuario proporcionada por Windows", se�al� entonces la Iniciativa D�a Cero (ZDI) de Trend Micro. "Un atacante puede aprovechar esta vulnerabilidad para ejecutar c�digo en el contexto del usuario actual".

Un an�lisis m�s detallado de los archivos LNK que aprovechan ZDI-CAN-25373 ha descubierto un subconjunto m�s peque�o que comprende nueve muestras, que se aprovechan de un fallo de confusi�n en el an�lisis sint�ctico de LNK derivado de que Microsoft no ha implementado su propia especificaci�n MS-SHLLINK (versi�n 8.0).

Seg�n la especificaci�n, el l�mite te�rico m�ximo para la longitud de una cadena dentro de los archivos LNK es el mayor valor entero que puede codificarse en dos bytes (es decir, 65.535 caracteres). Sin embargo, la implementaci�n real de Windows 11 limita el contenido total de texto almacenado a 259 caracteres, con la excepci�n de los argumentos de l�nea de comandos.

"Esto lleva a situaciones confusas, en las que algunos archivos LNK se analizan de forma diferente seg�n la especificaci�n y en Windows, o incluso que algunos archivos LNK que deber�an ser inv�lidos seg�n la especificaci�n son en realidad v�lidos para Microsoft Windows", dijo HarfangLab.

"Debido a esta desviaci�n de la especificaci�n, se puede crear un archivo LNK que aparentemente ejecute una determinada l�nea de comandos o incluso que no sea v�lido seg�n los analizadores de terceros que implementan la especificaci�n, pero que ejecute otra l�nea de comandos en Windows".

Una consecuencia de combinar el problema del relleno de espacios en blanco con la confusi�n del an�lisis sint�ctico de LNK es que puede ser aprovechado por los atacantes para ocultar el comando que se est� ejecutando tanto en la interfaz de usuario de Windows como en los analizadores sint�cticos de terceros.

Se dice que los nueve archivos LNK se distribuyeron dentro de archivos ZIP, cada uno de los cuales conten�a un segundo archivo ZIP que inclu�a un archivo PDF se�uelo, un ejecutable leg�timo pero renombrado y una DLL maliciosa que se cargaba lateralmente a trav�s del binario.

Vale la pena se�alar que esta cadena de ataques fue documentada por BI.ZONE a finales del mes pasado como llevada a cabo por un actor de amenazas que rastrea como Silent Werewolf para infectar empresas moldavas y rusas con malware.

La DLL es un descargador de primera fase denominado ETDownloader que, a su vez, probablemente est� destinado a desplegar un implante de recopilaci�n de datos conocido como XDigo, bas�ndose en la infraestructura, victimolog�a, sincronizaci�n, t�cticas y herramientas coincidentes. Se considera que XDigo es una versi�n m�s reciente del malware ("UsrRunVGA.exe") que fue detallado por Kaspersky en octubre de 2023.

XDigo es un ladr�n que puede recolectar archivos, extraer contenido del portapapeles y capturar pantallas. Tambi�n admite comandos para ejecutar un comando o binario recuperado de un servidor remoto a trav�s de peticiones HTTP GET. La exfiltraci�n de datos se produce a trav�s de peticiones HTTP POST.

Se ha identificado al menos un objetivo confirmado en la regi�n de Minsk, y otros artefactos sugieren que el objetivo son grupos minoristas rusos, instituciones financieras, grandes compa��as de seguros y servicios postales gubernamentales.

"Este perfil de objetivo se alinea con la persecuci�n hist�rica de XDSpy de entidades gubernamentales en Europa del Este y Bielorrusia en particular", dijo HarfangLab.

"El enfoque de XDSpy tambi�n se demuestra por sus capacidades de evasi�n personalizadas, ya que su malware fue reportado como el primer malware que intent� evadir la detecci�n de la soluci�n Sandbox de PT Security, una empresa rusa de ciberseguridad que proporciona servicio a organizaciones p�blicas y financieras en la Federaci�n Rusa."

Fuente: thehackernews