Un grupo de investigadores ha detectado una nueva forma
de distribuir malware a través de Internet en ataques de red prácticamente
imposibles de detectar sin la necesidad de modificar el código del programa
original para ello.
El método utilizado se centra en insertar las directrices habituales
de comportamiento de un virus durante la transferencia del archivo de manera
totalmente oculta y sin necesidad de modificar la firma del mismo. De esta
manera, el usuario está recibiendo un software malicioso, aunque lo haya
descargado desde una fuente de confianza y con la firma digital y el código
fuente intacto.
Esta nueva amenaza es bastante complicada de realizar
ya que hay que saber cómo controlar el tráfico en tiempo real, redirigirlo a un
servidor controlado, modificar el programa desde sus paquetes y volver a
enviarlo a la víctima sin que ello levante ninguna sospecha sobre el usuario.
Para que esto funcione, los piratas informáticos
utilizan un “binder“, una pieza de software que contiene en un mismo paquete la
aplicación original, el malware y su propio ejecutable. De esta manera, cuando
se intenta analizar el archivo original, aparentemente se trata de un fichero
inofensivo, pero al ejecutarlo automáticamente se ejecuta el “binder” y fusiona
el código malicioso con el archivo original ejecutando en realidad el virus,
troyano o malware utilizado.
Este método de distribución de malware puede ser
utilizado por diferentes organizaciones, por ejemplo Gobiernos, aprovechando el
control que tienen sobre los nodos de Internet con el fin de analizar el
tráfico, localizar objetivos o distribuir algún tipo de spyware.
La mejor forma de protegerse de esta amenaza es
utilizar conexiones cifradas HTTPS, VPN o IPSec. Cada vez es más importante
implementar este tipo de conexiones ya que las amenazas día a día van
evolucionando y permiten a los piratas informáticos ocultar su actividad mejor
en la red, de manera prácticamente indetectable. También se debe utilizar un
antivirus que sea capaz de detectar la actividad de los “binder” de manea que
sean detectados en el momento de su ejecución.
Fuente: The Register