09 septiembre 2011

Intrusos ocultan archivos maliciosos con truco de extensión de Windows


Delincuentes cibernéticos están usando un nuevo truco para ocultar archivos maliciosos al hacerlos pasar como archivos de extensión de Windows a fin de que parezca seguro descargarlos, advirtió hoy una compañía de seguridad checa.
El exploit, apodado “Unitrix” por la firma de seguridad Avast Software, abusa del Unicode de lenguajes de derecha – a– izquierda, como el árabe o el hebreo, para enmascarar archivos ejecutables de Windows (.exe) como imágenes inofensivas  (.jpg) o documentos de Word (.doc).
Unicode es el estándar industrial de computación para representar texto con códigos alfanuméricos.
El exploit Unitrix usa un código escondido (U+202E) que altera caracteres de derecha–a–izquierda para desplegar un archivo ejecutable como si fuera algo totalmente diferente. Usando esta treta, los intrusos pueden disfrazar a un archivo malicioso con extensión gpj.exe en una supuesta foto segura llamada Foto_D18727_Colle exe.jpg, al invertir los últimos seis caracteres del nombre del archivo.
“El usuario común sólo observará la extensión que se encuentra hasta el final del nombre del archivo, por ejemplo .jpg para una foto. Y es precisamente aquí donde está el peligro”, señaló Jindrich Kubec, director del laboratorio Avast. “La única manera en la que un usuario puede saber si se trata de un archivo ejecutable es si tiene algunos detalles adicionales desplegados en su pantalla o si recibe una advertencia emergente cuando intente ejecutar el archivo”.
Microsoft Internet Explorer 9 (IE9) utiliza una tecnología llamada “Aplicación de Reputación” para advertir a los usuarios  sobre potenciales archivos peligrosos descargados de la Web.
Avast dijo que el malware utilizado en la táctica de Unitrix, es principalmente un troyano descargable, el cual actúa como abridor-automático y un rootkit que oculta el código malicioso, el volumen del mes pasado aumentó, llegando a un pico de 25,000 detecciones diarias. El patrón de las detecciones, que se hace más alto en días laborables y cae en un 75% o más durante los fines de semana, muestra que los atacantes se dirigen a usuarios corporativos, argumentó Kubec.
Un análisis adicional realizado por Avast, arrojó que las PC Windows infectadas con el troyano disfrazado formaban parte de una red "pay-per-instalación" (pague por instalar) alquilada a otros criminales, desde la cual plantan su propio malware en los equipos.
"[Ellos] proporcionan infección subcontratada y servicios de distribución de malware para otras ciber-bandas... al parecer, con sede en Rusia y Ucrania", dijo Lyle Frink, investigador de Avast.
Frink identificó tres servidores de control y comando que dan instrucciones a los equipos infectados. Los servidores se encuentran en China, Rusia y Estados Unidos.
La lucha contra Unitrix es difícil, dijo Kubec. Sugirió a los usuarios abrir cualquier archivo sospechoso en un entorno seguro (sandbox). Office 2010, por ejemplo, abre archivos .doc descargados en una sandbox para aislar cualquier malware de Windows.
Vía: TechWorld
This entry was posted in :