Imágenes que no son lo que parecen

Cuando hablamos de archivos que pueden infectar nuestro sistema, la mayoría de usuarios aun siguen pensando únicamente en archivos ejecutables. Lamentablemente, hace tiempo que los códigos maliciosos pueden incluirse en multitud de tipos de archivos diferentes, empezando por los clásicos virus de macro que se incluían en los documentos ofimáticos (Word, Excel, etc.) hasta los ya habituales archivos PDF, sin olvidarnos de los archivos multimedia de audio (MP3) y video (AVI).

Así las cosas, cuando en nuestro laboratorio recibimos correos no deseados con archivos adjuntos, siempre intentamos analizar el contenido de los mismos, encontrando multitud de muestras de nuevos códigos maliciosos. El caso que vamos a comentar hoy resulta especialmente interesante puesto que, lo que a primera vista parecía ser una cosa, luego resulta ser algo completamente diferente.

Nuestro análisis comienza con la recepción de un correo, como muchos otros, con un archivo adjunto. Normalmente, cuando recibimos imágenes adjuntas estas suelen pertenecer a algún tipo de promoción de farmacias online o de bellas señoritas ligeras de ropa y en actitud seductora, que, quieras que no, siempre ayudan a romper la monotonía y a que esboces una sonrisa cuando llevas mucho tiempo analizando muestras.

En este caso, no obstante, tan solo obtenemos una triste imagen en gris y que no parece tener ningún sentido, a menos que se haya querido usar como fondo del mensaje, pero no es el caso.

Picados por la curiosidad de recibir este mensaje sin ninguna finalidad aparente (no intenta vendernos nada, ni que accedamos a ningún enlace), decidimos analizar el archivo adjunto más a fondo con un editor hexadecimal para encontrarnos con una sorpresa.

Si nos fijamos bien, lo que parecía ser una simple imagen esconde más secretos. Para empezar se trata de un archivo comprimido que, a su vez, contiene otro documento de nombre Changelog_09_2010.doc_______________________.exe lo que representa un caso típico de doble extensión. Repasando, que es gerundio. Tenemos un archivo con extensión jpg que muestra una imagen pero realmente actua como un contenedor de un archivo con doble extensión. Este simula ser un documento de Word pero, en realidad, es un ejecutable. Demasiadas molestias para una simple imagen que solo muestra un fondo gris, ¿no?.

Si contamos con un software antivirus, lo más seguro es que detecte esta amenaza sin mayores problemas. De hecho, en el momento de escribir este artículo, más de la mitad de los motores antivirus presentes en Virustotal ya detectaban estas muestras como una amenaza.

Como conclusión, desde el laboratorio de ESET en Ontinet.com nos gustaría hacer hincapié en el hecho de que no existen tipos de archivos seguros actualmente. A pesar de eso, la mayoría de usuarios siguen pensando que solo pueden infectarse con ejecutables. Es por ello que debemos permanecer alerta ante correos sospechosos como el que hemos analizado y contar siempre con un antivirus actualizado para detener este tipo de amenazas .

Josep Albors

Linkedin, otra víctima más del spoofing