Noticias
Los WinRAR SFX son útiles, pero mucho cuidado con su seguridad
Investigadores de seguridad han descubierto archivos WinRAR SFX maliciosos, especialmente diseñados para instalar una puerta trasera y tomar el control de los ordenadores personales. Mucho cuidado con ellos porque parecen inofensivos y no son detectados por los antivirus estándar.
Los WinRAR SFX son un tipo especial de archivos comprimidos. Pueden crearse con aplicaciones como WinRAR o 7-ZIP y son muy útiles porque tienen la cualidad de autoextracción. Es decir, el usuario que recibe estos archivos no necesita tener instalado ningún software para descomprimir el archivo. Ciertamente son útiles porque facilitan su distribución, pero igualmente peligrosos en manos de ciberdelincuentes como el último caso detectado por la firma CrowdStrike.
Una de las características avanzadas de este tipo de archivos de almacenamiento es la capacidad de incluir comandos SFX extendidos, que se ejecutan al descomprimirlos. Entre estos comandos hay una opción de configuración que se usa para especificar el tipo de ejecutable y ya hemos visto abusos de esta capacidad en el pasado con la instalación de malware por la botnet Emotet.
Sin embargo, un archivo SFX malicioso no necesita contener malware y en su lugar, puede usarse para invocar comandos utilizando herramientas nativas como parte de las funciones del código auxiliar del descompresor. Es el caso de la información que nos ocupa, donde los autores han diseñado los archivos SFX para ejecutar la consola avanzada de Windows, PowerShell, el símbolo del sistema y el administrador de tareas.
Una vez abierta la consola, el archivo configura un depurador en el registro de Windows para pasar como parámetro al ejecutable especificado. Es una aplicación de accesibilidad que se puede ejecutar antes del inicio de sesión del usuario. Como tal, los atacantes ejecutan un binario de su elección en la pantalla de inicio de sesión de Windows, evitando la necesidad de autenticarse en un sistema en caso de que se desconozcan las credenciales de acceso.
Si logran colarse date por muerto, porque los binarios que se ejecutan a través de este método lo hacen bajo la cuenta del sistema local (NT AUTHORITY\SYSTEM), lo que permite ejecutar comandos incluso con mayores privilegios que los de una cuenta de administrador. Y encima, como estos binarios suelen estar protegidos con contraseña, aunque es posible activar su ejecución con el depurador no es posible desarchivarlo sin la contraseña correcta. La ruta de ejecución de este ataque es ‘utilman.exe’, bien conocido para saltarse la contraseña en sistemas Windows.
Decir para finalizar que como estos archivos WinRAR SFX no incluyen ningún tipo de malware, es probable que el software antivirus tradicional (que suele buscar malware dentro de los archivos) no los detecte. Por contra, crea una puerta trasera con la que el atacante puede ejecutar todo tipo de comandos y scripts para tomar el control total del equipo.
En general, hay que tener un cuidado especial con los archivos comprimidos porque son bastante usados para distribuir malware, pero con este tipo especial de autoextraíbles mucho más.
-
NoticiasHace 2 días
Requisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
-
A FondoHace 5 días
Fin de ADSL, ¿qué alternativas tienes?
-
A FondoHace 6 días
Novedades VOD 15/24: ‘Fallout’, pulgares arriba
-
NoticiasHace 7 días
Celebra la primavera con una licencia 100% original de Windows 11, por solo 20,1 € en Supercdk