En el amplio campo de la ciberseguridad, herramientas y protocolos antiguos suelen ser considerados obsoletos. Sin embargo, el resurgimiento del comando finger ha demostrado que incluso las tecnologías en desuso pueden ser aprovechadas por actores maliciosos. Inicialmente diseñado para obtener información básica sobre usuarios de sistemas en Unix y más tarde en Windows, este comando se ha convertido en un vector de ataque que representa un riesgo significativo para la seguridad de los usuarios desprevenidos.
A medida que la tecnología avanza, la tendencia ha sido dejar de lado métodos de autenticación y consulta de usuarios más antiguos. No obstante, el interés reciente en el comando finger ha reavivado preocupaciones sobre su uso indebido. Investigaciones indican que algunos atacantes han comenzado a utilizar este protocolo para ejecutar comandos remotos, lo que resalta la importancia de mantener una vigilancia constante en las prácticas de seguridad cibernética.
Reaparición del comando finger en ataques cibernéticos
Un análisis reciente de un script por un investigador reveló que el comando finger se utilizó para realizar una solicitud a un servidor remoto. Este script permitía la ejecución de comandos en una sesión de comandos de Windows, facilitando la ejecución de instrucciones maliciosas sin el conocimiento del usuario. Aunque el servidor en cuestión ha dejado de responder, se han encontrado otros ejemplos de comportamientos similares en ataques en curso.
Un caso revelador de engaño
En uno de estos incidentes, un usuario pensó que estaba completando un sencillo paso de verificación humana, pero en realidad ejecutó un comando que se conectaba a una dirección finger. El resultado de esta acción se transmitió directamente a una sesión de comandos, permitiendo a los atacantes realizar acciones no autorizadas. La secuencia de comandos resultante creó rutas aleatorias, clonó herramientas del sistema y extrajo un archivo comprimido que se disfrazaba como un documento inofensivo.
Este archivo, que contenía un programa en Python, se activó utilizando pythonw.exe y posteriormente contactó un servidor remoto para confirmar su ejecución. Un análisis adicional del archivo reveló que no era simplemente una herramienta de prueba, sino que estaba diseñada con el objetivo de robar información, lo que indica la gravedad de la amenaza.
La inteligencia detrás de los ataques
Otro ataque relacionado mostró un patrón de solicitud similar, pero dirigido a un servidor diferente. Este ataque también exhibió un comportamiento automatizado casi idéntico. Durante este proceso, se observaron escaneos para detectar herramientas comunes de ingeniería inversa y utilidades de monitoreo. Al detectar estas herramientas, el script se cerraba, lo que sugiere un nivel de sofisticación y conciencia típicamente asociados con el malware en fase de preparación.
Prevención y protección
Si el script no encontró ninguna utilidad de detección, continuaba descargando un archivo comprimido que contenía una herramienta de acceso remoto conocida, utilizada para tomar control de sesiones de forma no autorizada. Este tipo de abuso parece ser perpetrado por un único actor, aunque se han registrado múltiples incidentes similares entre víctimas desprevenidas. Esto subraya la necesidad imperante de contar con sistemas de antivirus actualizados, prácticas confiables de eliminación de malware y un firewall correctamente configurado.
Es sorprendente pensar que una herramienta de búsqueda de red tan antigua aún pueda representar un riesgo real. Sin embargo, los protocolos más antiguos pueden crear puntos de entrada cuando se combinan con técnicas de ingeniería social. Por lo tanto, es crucial que los usuarios se mantengan informados y proactivos en la implementación de medidas de seguridad efectivas para protegerse contra tales amenazas.
