Los códigos maliciosos que se propagan usando la función de Autorun, incorporada por defecto en la mayoría de sistemas Windows, llevan siendo una plaga desde hace ya varios años, estando siempre entre las amenazas mas detectadas. Cuando creíamos que las nuevas opciones de seguridad incorporadas en Windows 7 iban a mitigar esta amenaza, un grupo de investigadores, ha descubierto una nueva amenaza que se aprovecha de un fallo de Windows en el manejo de ciertos archivos.
Este nuevo vector de ataque no utiliza la funcionalidad Autorun para propagarse si no que se aprovecha de una vulnerabilidad en el manejo de los archivos .lnk. Esto ocasiona que, tan solo abriendo una unidad USB infectada con un explorador de ficheros que permita mostrar iconos, como el que incorpora por defecto Windows u otros menos conocidos (p.ej.: Total Commander) nuestro sistema quede comprometido.
Una vez se ha conseguido infectar el sistema atacado, los archivos que componen esta amenaza consiguen ocultarse en el sistema usando técnicas de rootkit, lo que dificulta su detección. Asimismo, si se analizan las propiedades de los archivos maliciosos se observa que poseen la firma digital de Realtek Semiconductor Corp. , empresa que nada tiene que ver con el desarrollo de malware.
Pero la preocupación no es solo que pronto veamos muchas más muestras de malware que se aprovechan de esta vulnerabilidad en el manejo de los ficheros .lnk. Lo realmente preocupante a fecha de hoy es que ya hay investigadores que avisan de que estas primeras muestras detectadas han sido diseñadas para atacar sistemas SCADA. Este tipo de sistemas se usan para gestionar grandes infraestructuras, muchas de ellas críticas, y pueden gestionar desde una lavandería a una central nuclear. Si realmente han sido usados con tal fin representarían una grave amenaza para la seguridad de las infraestructuras críticas, cada vez más en el punto de mira de los ciberdelincuentes.
Debido a que no existe solución para esta vulnerabilidad y a que, una vez hecha pública, es más que probable que empecemos a ver una gran cantidad de malware que se aproveche de la misma, desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar una solución antivirus con capacidad de detección de malware con funcionalidades de rootkit para evitar ser presas de esta amenaza.
Josep Albors