Nuevos ataques informáticos que camuflan malware dentro de software de confianza

Escrito por David Valero
Actualidad

Investigadores de la universidad de Ruhr han logrado simular ataques informáticos indetectables que camuflan malware dentro de un archivo descargado de una fuente fiable. Los expertos en seguridad aconsejan usar conexiones seguras HTTPS, VPN o IPSec para protegerse.

El peligro que supone la detección tardía de malware que se puede introducir en el sistema de nuestro equipo informático, siempre está presente a pesar de los avances en seguridad y las últimas actualizaciones que apliquemos. De hecho, uno de los tipos de ataque más peligroso por su indetectabilidad es aquel que permite introducir malware camuflado en la descarga de cualquier tipo de software que estemos realizando.

Como nos informan nuestros compañeros de Redes Zona, un grupo de investigadores de la universidad de Ruhr, en Alemania, han llevado a cabo una simulación con la que se podría conseguir distribuir malware en Internet, camuflado dentro de software legal sin llegar a modificar el código original. De esta forma se conseguirían llevar a cabo ataques de red prácticamente indetectables. La descarga del archivo no levantaría sospechas por sí misma ya que se haría a través de una fuente legítima de confianza y con la firma digital y el código fuente inalterado.

redirect_attack

Afortunadamente, de momento es solo el resultado de una investigación, y además el sistema entraña cierta complejidad debido a que es necesario redirigir el tráfico a un servidor bajo el control de los piratas informáticos, realizar la modificación de los paquetes que se estén descargando y volver a dirigirlo hacia la víctima para completar la descarga sin que el ataque sea detectado.

Malware camuflado y difícil de detectar

El método utilizado por los investigadores consiste en usar un binder, un programa que contiene dentro del mismo paquete el software original, el malware y su propio ejecutable. Esta clase de programas se ha usado en muchas ocasiones para distribuir virus y troyanos. Cuando el antivirus analiza el archivo descargado tan solo detecta el software original, pero si lo ejecutamos, el binder camuflara el malware en la aplicación de confianza e introducirá en el sistema el código malicioso.

apertura-antivirus-escudo

Según los propios investigadores, se especula con que organismos gubernamentales puedan emplear esta técnica para lograr distribuir spyware u otro tipo de código malicioso para monitorizar los sistemas informáticos a su elección. Asimismo, se ha aconsejado a las compañías que distribuyan su software a través de Internet, que tomen medidas para protegerse ante este tipo de ataques. Aconsejan que los usuarios también lleven a cabo algunas acciones para mejorar la seguridad de su sistema, como puede ser hacer uso de conexiones cifradas HTTPS, VPN o IPSec. Activar en nuestro antivirus las opciones para detectar el binder empleado por los piratas informáticos, realizando el análisis antes de ejecutar el archivo puede ahorrarnos un mal trago.

Fuente > The Register

Continúa leyendo
Comentarios
4 comentarios
  1. Anónimo
    Usuario no registrado
    21 Ago, 14 6:35 pm

    Probando bloqueo automático de comentarios.

    1. Anónimo
      Usuario no registrado
      21 Ago, 14 8:40 pm

      tu eres tonto, le dijo el tonto al tonto…

  2. Anónimo
    Usuario no registrado
    22 Ago, 14 1:48 pm

    “La descarga del archivo no levantaría sospechas por sí misma ya que se haría a través de una fuente legítima de confianza y con la firma digital y el código fuente inalterado.”

    Dado que la noticia no especifica muchos detalles del procedimiento, lo que si tengo muy claro! es que si el paquete esta firmado con una clave criptográfica, es imposible y repito “IMPOSIBLE” que después de introducir el malware, dicho paquete de software tenga la misma firma que de origen.

    No se cual es el procedimiento que siguen los proveedores de software, pero en el software libre todos los paquetes oficiales de las distintas distribuciones están firmados con claves criptográficas imposibles a día de hoy de falsificar.

    1. Nova6K0 22 Ago, 14 5:06 pm

      Es tan sencillo como comprobar el hash del archivo. El problema es si la fuente o la web de donde se descarga lo pone, muchas sí (por ejemplo casi todas las relacionadas con software libre), pero no todas. Si al llegar al ordenador (vamos que se acabe de descargar) el hash ha cambiado y el programa no está corrupto (es decir se puede ejecutar) sería muy sospechoso.

      Y ya no hablo si alguien con los conocimientos necesarios, por ejemplo usando el Wireshark para monitorizar su propia conexión, ve que se desvía, a una IP sospechosa y que luego se reenvía de nuevo para que siga su curso. Esto obviamente no lo haría un usuario medio, pero uno un poco experimentado sí. Ya que Wireshark tampoco es tan complejo usarlo.

      Salu2