Redazione RHC : 15 julio 2025 14:43
Una nueva forma de ataque digital llamada RenderShock ha afectado a los sistemas Windows corporativos. No requiere clics ni abrir archivos adjuntos: todo sucede completamente en segundo plano, mediante mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo. A diferencia del malware clásico, RenderShock utiliza las llamadas superficies de ejecución pasivas, que son servicios que se ejecutan automáticamente y procesan archivos sin la intervención del usuario. Estas conexiones vulnerables incluyen paneles de vista previa del Explorador de Windows, antivirus, servicios de indexación y herramientas de sincronización en la nube.
La idea principal del ataque es utilizar procesos confiables del sistema para procesar archivos claramente maliciosos. Basta con que un archivo de este tipo se encuentre en una carpeta disponible para previsualización o indexación para que el mecanismo de infección se active de inmediato. Esto puede ocurrir si el archivo llega al correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.
RenderShock funciona según un esquema de cinco etapas claramente estructurado. Primero, se crea un archivo malicioso, que puede ser un documento, una imagen o un enlace. Los atacantes colocan estos archivos en ubicaciones donde los sistemas garantizan su detección. La activación automática se produce cuando el archivo interactúa con uno de los componentes pasivos del sistema. Comienza entonces la recopilación de información, como el envío de consultas DNS o la captura de hashes NTLM para robar credenciales. La etapa final es la ejecución remota de código o una mayor penetración en la infraestructura.
El peligro particular de RenderShock es que el ataque se hace pasar por la actividad estándar de un proceso del sistema. Los procesos explorer.exe, searchindexer.exe o Microsoft Office Document Preview realizan acciones normales y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los programas antivirus corporativos no supervisan la actividad de red de estos procesos, lo que significa que no pueden reaccionar a tiempo.
Un ejemplo muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede obligar al Explorador de Windows a descargar un icono vía SMB desde un servidor remoto. El sistema transmite automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren de forma instantánea y sigilosa.
El nuevo esquema RenderShock demuestra claramente cómo incluso las operaciones rutinarias, aparentemente seguras, se están volviendo vulnerables en los entornos empresariales actuales. Las organizaciones que dependen de vistas previas integradas e indexación automática deberían reconsiderar sus prácticas de seguridad.
Los expertos recomiendan deshabilitar las vistas previas de archivos, limitar el tráfico SMB saliente, reforzar la configuración de seguridad de Office y supervisar la actividad atípica de los procesos relacionados con las vistas previas. RenderShock desafía los principios fundamentales de confianza en los sistemas y requiere un enfoque completamente nuevo para la higiene digital en las empresas.
RedazioneDos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
