Check Point alerta de la difusión de malware en archivos de ayuda de Microsoft
Su uso altamente común hace que los usuarios no sospechen de los archivos Microsoft Compiled HTML Help, que se pueden utilizar para ejecutar código malicioso en un equipo con Windows Vista o superior.
- Check Point celebra su Experience CPX 2015 y anuncia novedades
- Check Point refuerza su oferta de seguridad móvil con la compra de Lacoon
- Check Point Threat Extraction entrega el 100% de los documentos securizados
- Check Point adquiere la compañía de prevención de amenazas Hyperwise
- Check Point perfila su estrategia para el mercado de seguridad en España
El Grupo de Investigación de Vulnerabilidades y Malware de Check Point Software alerta sobre una nueva vulnerabilidad difícilmente detectable por los antivirus y que afecta a los Archivos de ayuda de Microsoft (CHM), los cuales estarían siendo usados actualmente por los cibercriminales para distribuir malware a los usuarios. “Los archivos CHM son usados normalmente como software documental y como ayuda tutorial. Ya que su uso es altamente común, también es poco probable que los usuarios sospechen de esta ayuda en línea”, afirma Oded Vanunu, responsable de investigación de Check Point.
Al parecer, archivos Microsoft Compiled HTML Help, que se hallan comprimidos y se despliegan en un formato binario con la extensión CHM, se pueden utilizar para ejecutar código malicioso en un ordenador que funcione con Microsoft Windows Vista o superior. Si un usuario arranca un archivo de ayuda de Microsoft infectado, se inicia una solicitud de descarga y ejecución de la pieza de malware que, en las muestras analizadas, tenía el nombre de PuTTY, un cliente de red que permite conexiones en remoto. Los cibercriminales estarían enmascarando el malware haciéndolo pasar lo más desapercibido posible.
“Después de analizar la muestra del malware, descubrimos sólo era detectada por un pequeñísimo número de antivirus (3 de 35)”, asegura Vanunu. Además se detectó que también era posible manipular la carga para hacerla completamente invisible a los productos de seguridad, lo que lo convierte en un método muy peligroso. “Es un ejemplo más de cómo los cibercriminales utilizan una gran variedad de técnicas para lograr mantenerse bajo el radar de la detección antivirus”, añade el investigador.
Según la investigación, los cibercriminales que están detrás de esta técnica se valen de campañas de spam en redes sociales y correo para la propagación del malware, en las que se ofrecen nuevas versiones o programas muy conocidos cuyos archivos documentales se hallan comprometidos.