Cada vez los ataques informáticos son más complejos y difíciles de detectar. Como ya hemos visto, los piratas informáticos son capaces de distribuir una única pieza de malware con varias funciones, sin embargo, el peligro real para la seguridad y la integridad viene cuando estas piezas de malware pueden ser introducidas de manera indetectable incluso en software legítimo.
Un grupo de investigadores ha detectado una nueva forma de distribuir malware a través de Internet en ataques de red prácticamente imposibles de detectar sin la necesidad de modificar el código del programa original para ello. El método utilizado se centra en insertar las directrices habituales de comportamiento de un virus durante la transferencia del archivo de manera totalmente oculta y sin necesidad de modificar la firma del mismo. De esta manera, el usuario está recibiendo un software malicioso, aunque lo haya descargado desde una fuente de confianza y con la firma digital y el código fuente intacto.
Esta nueva amenaza es bastante complicada de realizar ya que hay que saber cómo controlar el tráfico en tiempo real, redirigirlo a un servidor controlado, modificar el programa desde sus paquetes y volver a enviarlo a la víctima sin que ello levante ninguna sospecha sobre el usuario.
Para que esto funcione, los piratas informáticos utilizan un «binder«, una pieza de software que contiene en un mismo paquete la aplicación original, el malware y su propio ejecutable. De esta manera, cuando se intenta analizar el archivo original, aparentemente se trata de un fichero inofensivo, pero al ejecutarlo automáticamente se ejecuta el «binder» y fusiona el código malicioso con el archivo original ejecutando en realidad el virus, troyano o malware utilizado.
Este método de distribución de malware puede ser utilizado por diferentes organizaciones, por ejemplo Gobiernos, aprovechando el control que tienen sobre los nodos de Internet con el fin de analizar el tráfico, localizar objetivos o distribuir algún tipo de spyware.
La mejor forma de protegerse de esta amenaza es utilizar conexiones cifradas HTTPS, VPN o IPSec. Cada vez es más importante implementar este tipo de conexiones ya que las amenazas día a día van evolucionando y permiten a los piratas informáticos ocultar su actividad mejor en la red, de manera prácticamente indetectable. También se debe utilizar un antivirus que sea capaz de detectar la actividad de los «binder» de manea que sean detectados en el momento de su ejecución.
¿Qué opinas de la posibilidad de distribuir malware en ataques de red indetectables?
Fuente: The Register