martes, 6 de diciembre de 2011

#Seguridad - #Hackers invierten #Filenames para crear extensiones “seguras”

Una función de #Unicode usada maliciosamente para infectar equipos con base de pago-por-instalación

wysi-N-wyg “Lo que ves no es lo que recibes” gracias a una nueva ola de malware que hace un mal uso de una función especial para desplegar idiomas que engaña al usuario para abrir lo que supuestamente son archivos “seguros”. La nueva vulnerabilidad de seguridad hace mal uso de las características del Unicode – El estándar de la industria informática para la representación de texto – para enmascarar un ejecutable de malware como un archivo “seguro” con una extensión .doc o .jpg por ejemplo. Esta vulnerabilidad ha sido nombrada "Unitrix" por los analistas de AVAST Software.

Esta función de Unicode ha sido diseñada para desplegar alfabetos escritos bajo un esquema de derecha a izquierda como es el caso del árabe o hebreo y que invierte el texto desplegado después de ciertos códigos ocultos tales como 0x202E (Reemplazar de izquierda a derecha) que son añadidos al nombre de archivo. Por ejemplo: el ejecutable del archivo malware con terminación “gpj.exe” es desplegado al destinatario con un nombre que suene más inocente como “photo_D18727_Collexe.jpg”.

El laboratorio de virus de AVAST ha rastreado un crecimiento constante en el número de detecciones durante Agosto con un pico diario mayor a los 25,000. “De los correos electrónicos y el patrón de tráfico, esto es claramente a empresas,” expresó el Señor Kubec. Los ataques son casi exclusivamente hechos durante los horarios de trabajo, con detecciones diarias que caen a menos de 5,000 durante el fin de semana.

EL archivo más común Unitrix es un malware que descarga y genera conexiones a varias direcciones URL que actúan como comando y centros de. “Basado en nuestro análisis de más de cincuenta muestras, parece ser parte de una red pago-por-instalación PPI con capacidad para enviar a los usuarios infectados con una variedad de malware,” explica el Sr. Kubec. Información adicional en relación de Unitrix está disponible en el blog de AVAST.

“No es posible hacer una detección única, universal, a prueba de tontos porque esta crearía muchos falsos positivos, pera hay definitivamente maneras de enfrentar esta situación,” comentó el Sr. Kubec y apunto que el usuario final de avast! Antivirus están protegidos en dos formas:

    Detección simple cuando el nombre del archive utiliza este truco aparece en un correo electrónico de entrada.
    En el sistema de archivos avast! automáticamente sugiere que el archivo sospechoso sea abierto en la sandbox, un ambiente seguro virtualizado.

“El problema es que esta es una funcionalidad del Unicode. Aunque mencionaron la implicación en la seguridad de estas especificaciones, las personas lo implementan como está diseñado sin prestarle mayor importancia. Se ha mencionado en otros sitios de laboratorios de antivirus pero no es algo ampliamente conocido,” comentó el Sr. Kubec.

Fuente: Avast

0 comentarios:

My Tweets

Protegelas.com