Es posible esconder malware en archivos comunes
Investigadores han mostrado en el marco de la feria de seguridad Black Hat formas de esconder software malicioso en formatos de archivos comunes.
La mayoría de los suministradores de antivirus han parcheado sus aplicaciones para detectar los formatos de archivo manipulados, como “.rar” y “.zip”, según Tomislav Pericin, fundador del proyecto de protección de software comercial RLPack.
Pericin ha realizado una presentación en la conferencia de seguridad Black Hat junto con Mario Vuksan, investigador independiente especializado en seguridad, y Brian Karney, COO de AccessData. Los tres han mostrado cómo es posible manipular los formatos de archivo e insertar código malicioso, como el gusano Conficker, que después se ejecuta sobre el ordenador de la víctima.
Muchas corporaciones utilizan los productos de seguridad llamados “gateways”, que analizan los archivos adjuntos para comprobar si son maliciosos. Pero los hackers saben que los archivos maliciosos comprimidos –también conocidos como “packing”- pueden a veces engañar a los productos de seguridad, aunque, según los tres expertos, éstos han mejorado mucho sus capacidades de detección.
Durante su exposición, no obstante, los investigadores mostraron que manipulando diferentes formatos de archivo, aún es posible pasar por las gateways sin ser descubiertos. Algo peligroso, porque un usuario final podría después abrir el fichero adjunto y el hacker conseguiría acceso remoto al ordenador.
Pericin, Vuksan y Karney también mostraron cómo es posible embeber contenido secreto dentro de un fichero de archivo. La técnica, conocida como estenografía, permite escribir mensajes ocultos sólo conocidos por el emisor y receptor. Existen al menos dos herramientas software que permiten colocar mensajes ocultos en archivos “.zip”.
