Noticias
Google alerta de una nueva técnica que hace indetectable el malware en Windows
Investigadores de seguridad informática de Google han revelado una técnica novedosa adoptada por los ciberdelincuentes para evadir deliberadamente la detección de malware en Windows.
«Los atacantes crearon firmas de código maliciosas que Windows considera válidas, pero que no pueden ser decodificadas o verificadas por el código OpenSSL que se utiliza en varios productos de escaneo de seguridad», explica Neel Mehta del grupo Google Threat Analysis.
Los investigadores han observado que el nuevo mecanismo está siendo explotado por una familia de software no deseado conocido como OpenSUpdater, que se utiliza para descargar e instalar otros programas sospechosos en sistemas comprometidos. La mayoría de los objetivos de la campaña son usuarios ubicados en los EE. UU., propensos a descargar versiones crackeadas de juegos y otro software de ese tipo.
El descubrimiento ha llegado de un conjunto de muestras de OpenSUpdater cargadas a VirusTotal al menos desde mediados de agosto. Los artefactos se firman con un certificado X.509 no válido que se edita de tal manera que el elemento ‘parámetros’ del campo SignatureAlgorithm incluya un marcador de fin de contenido (EOC) en lugar de una etiqueta NULL.
Aunque dichas codificaciones se rechazan como subproductos no válidos utilizando OpenSSL para recuperar información de firmas, las comprobaciones en los sistemas Windows permitirían ejecutar el archivo sin advertencias de seguridad. Esta es la primera vez que los especialistas de Google Threat Analysis observan esta técnica para evadir la detección y al mismo tiempo preservar una firma digital válida en archivos PE.
Es un gran problema porque las firmas de código en los ejecutables de Windows brindan garantías sobre la integridad de un ejecutable firmado, así como información sobre la identidad del firmante. Si los atacantes pueden ocultar su identidad en las firmas sin afectar la integridad de la firma pueden evitar la detección por más tiempo y extender la vida útil de sus certificados maliciosos para infectar más sistemas.