AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ciberdelincuentes Explotan Archivos .scr para Eludir Controles y Distribuir Malware en Entornos Corporativos

admin

#### Introducción

Durante los últimos meses, los equipos de seguridad han detectado un aumento significativo en el uso malicioso de archivos con extensión .scr por parte de actores de amenazas. Esta táctica, aunque no es nueva, ha cobrado renovada relevancia debido a la capacidad de los archivos .scr para evadir controles de seguridad tradicionales y desplegar cargas útiles maliciosas en infraestructuras empresariales. El presente artículo analiza en detalle cómo los atacantes están capitalizando esta vulnerabilidad, los riesgos asociados y las mejores prácticas para proteger los entornos corporativos.

#### Contexto del Incidente o Vulnerabilidad

Los archivos .scr corresponden originalmente a “screensavers” o salvapantallas de Microsoft Windows, pero en realidad son ejecutables PE32 (Portable Executable) que pueden contener cualquier tipo de código. Tradicionalmente, los equipos de seguridad y los sistemas de prevención de malware focalizan sus esfuerzos en extensiones más habituales como .exe, .dll o .bat, dejando a los .scr en un segundo plano. Esta laxitud ha sido identificada y explotada por cibercriminales, quienes los utilizan como vector inicial para campañas de phishing, distribución de troyanos bancarios y ransomware.

El resurgimiento de esta técnica coincide con la aparición de nuevas campañas que emplean técnicas de evasión avanzadas y exploits empaquetados en archivos .scr, aprovechando la falta de controles específicos sobre este tipo de archivos en muchas soluciones de filtrado y monitorización.

#### Detalles Técnicos

En lo referente a los detalles técnicos, se han identificado múltiples CVE que permiten la ejecución remota de código a través de archivos .scr manipulados. Por ejemplo, vulnerabilidades como **CVE-2023-36884** (relacionada con la ejecución de código arbitrario en Windows a través de archivos especialmente diseñados) han sido empleadas en campañas recientes.

Los atacantes suelen emplear los siguientes vectores de ataque:

– **Phishing**: Envío de correos electrónicos con archivos .scr adjuntos o enlaces de descarga, camuflados como documentos legítimos (PDF, facturas, etc.).
– **Ingeniería social**: Utilización de nombres y logos corporativos para engañar a los usuarios y persuadirles de ejecutar el archivo.
– **Explotación de vulnerabilidades**: Uso de exploits conocidos que permiten la ejecución automática del .scr tras la descarga, especialmente en versiones antiguas de Windows.

Desde el punto de vista de MITRE ATT&CK, estas campañas se alinean principalmente con las técnicas **T1204 (User Execution)** y **T1566 (Phishing)**. Los archivos .scr suelen incluir cargas útiles como **Cobalt Strike beacons**, **meterpreter payloads** de Metasploit o incluso variantes de ransomware como **LockBit** y **BlackCat**.

Entre los indicadores de compromiso (IOC) más comunes destacan:

– Hashes SHA256 de archivos .scr maliciosos.
– Comunicaciones a C2 (Command & Control) en dominios recién registrados.
– Actividad anómala en rutas como `%APPDATA%` o `%TEMP%` tras la ejecución del .scr.

#### Impacto y Riesgos

El impacto potencial de estas campañas es elevado, especialmente en empresas que no han endurecido sus políticas de ejecución de archivos. Según estimaciones recientes, se calcula que aproximadamente un 35% de las organizaciones aún permiten la ejecución de archivos .scr en algún segmento de su red interna. Las consecuencias habituales incluyen:

– **Despliegue de ransomware** y cifrado total o parcial de los sistemas afectados.
– Robo de credenciales y movimientos laterales mediante herramientas como Mimikatz.
– Pérdida de datos confidenciales y violaciones de la privacidad, con implicaciones directas para el cumplimiento de normativas como **GDPR** y la futura **NIS2**.
– Costes económicos derivados de la interrupción del servicio, con pérdidas medias superiores a 250.000 euros por incidente.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este vector de ataque, se recomienda:

– **Bloqueo de archivos .scr** en gateways de correo y soluciones EDR/NGAV.
– Implementación de listas blancas (whitelisting) para ejecutables mediante políticas de AppLocker o Windows Defender Application Control.
– Actualización y parcheo constante de los sistemas operativos y aplicaciones asociadas, especialmente en endpoints Windows.
– Formación continua a usuarios sobre los riesgos de la ejecución de archivos desconocidos, enfatizando el peligro de extensiones inusuales.
– Monitorización activa de rutas y procesos relacionados con la ejecución de .scr.

#### Opinión de Expertos

Investigadores de Threat Intelligence coinciden en que la infrautilización de controles sobre archivos .scr representa “una brecha crítica en la postura de seguridad de muchas organizaciones”. Tal y como señala un analista de SANS Institute: “Los ejecutables que no siempre reciben controles a nivel de ejecutable son una debilidad que los atacantes seguirán explotando mientras persista el desconocimiento y la falta de políticas restrictivas”.

#### Implicaciones para Empresas y Usuarios

El uso malicioso de archivos .scr subraya la necesidad de un enfoque holístico de la seguridad, en el que no sólo se monitoricen las extensiones tradicionales, sino cualquier tipo de ejecutable potencialmente peligroso. El cumplimiento normativo (GDPR, NIS2) obliga a las empresas a demostrar “diligencia debida” en la protección de datos y sistemas, lo que incluye la restricción de vectores de ataque menos comunes pero igualmente efectivos.

Además, las aseguradoras de ciberseguridad están comenzando a exigir controles específicos sobre tipos de archivos no convencionales como requisito para la cobertura de incidentes.

#### Conclusiones

El resurgimiento del uso malicioso de archivos .scr evidencia la adaptabilidad de los cibercriminales ante las barreras tradicionales de seguridad. Las organizaciones deben revisar y actualizar de manera proactiva sus políticas de control de aplicaciones y concienciar a sus empleados para reducir la superficie de exposición. Ignorar estos vectores menos evidentes puede traducirse en incidentes graves y costosos, tanto a nivel operativo como regulatorio.

(Fuente: www.darkreading.com)