El comando finger vuelve a escena en ataques de malware en Windows

Redazione RHC : 26 noviembre 2025 07:20

Un comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inicios de internet, este mecanismo se utiliza ahora en ataques camuflados en controles y consultas inofensivos que se ofrecen a las víctimas en una ventana del Símbolo del sistema.

El comando finger , diseñado en su día para recuperar información de usuario en servidores Unix y Linux, también estaba presente en Windows. Devolvía el nombre de la cuenta, el directorio personal y otra información básica. Si bien el protocolo aún es compatible, su uso prácticamente ha desaparecido . Sin embargo, para los atacantes, esto representa una ventaja: pocos esperarían ver actividad de red a través de dicho canal.

Observaciones recientes han demostrado que finger ha comenzado a utilizarse en esquemas similares a ClickFix, en los que los comandos que se ejecutan en el dispositivo se descargan desde una fuente remota. Los expertos llevan tiempo observando que el comando puede actuar como una herramienta de soporte de Windows y utilizarse para descargar datos maliciosos.

Fue en estas nuevas campañas donde el método se perfeccionó. El equipo de MalwareHunterTeam proporcionó un archivo por lotes de ejemplo que accedía a un servidor remoto mediante finger y enviaba el resultado directamente a cmd para su ejecución. Los dominios involucrados en esta actividad ya no son accesibles, pero los investigadores han descubierto otros ejemplos del mismo enfoque.

Las primeras víctimas publicaron en Reddit: en un hilo, un usuario describió haber encontrado un CAPTCHA falso que le exigía abrir una ventana de inicio e introducir un comando para verificar su identidad. La cadena introducida iniciaba una solicitud «finger» a otro servidor y enviaba el resultado a un intérprete de Windows.

Como resultado, se creó un directorio temporal, se copió el programa de sistema curl con un nombre aleatorio, se descargó un archivo comprimido camuflado en PDF y se descomprimió un conjunto de archivos Python. El programa se ejecutó mediante pythonw.exe, tras lo cual se realizó una solicitud al servidor de los atacantes y se mostró un mensaje falso de «verificación» en la pantalla.

El contenido del archivo indicaba un intento de robo de datos. Al mismo tiempo, MalwareHunterTeam también descubrió otra actividad: el comando finger se estaba utilizando para descargar un conjunto de comandos casi idéntico, pero con comprobaciones adicionales. Antes de ejecutar sus acciones, el script buscaba en el equipo herramientas de análisis de malware, desde Process Explorer y Procmon hasta Wireshark, Fiddler y depuradores. Si se detectaban dichas herramientas, se detenía la ejecución.

Como no se encontraron dichas herramientas, se descargó y descomprimió un nuevo archivo, también camuflado como documento PDF . Esta vez, contenía el paquete de administración remota de NetSupport Manager. Tras la descompresión, una serie de comandos configuraron el programador de tareas para iniciar el acceso remoto la próxima vez que se iniciara sesión en el sistema.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli