Aunque no es un ataque muy común, cada vez son más los ciberdelincuentes que recurren a estos para lograr con éxito instalar malware en los equipos. La sustitución de DLLs (conocido en inglés como DLL side-loading) es una práctica que afecta a más aplicaciones de las que en un principio nos creemos. Podéis leer nuestro listado de mejor escaner de puertos.
Sin ir más lejos, en el día de ayer nos hicimos eco de una actualización que habían publicado desde Oracle para resolver este problema de seguridad en Java. Pero no se trata de un caso aislado, y como vais a comprobar a continuación son muchas las aplicaciones y de mucha relevancia para los usuarios las que se encuentran afectadas por este ataque que tiene como característica principal ser prácticamente silencioso.
Lo que choca a los expertos en seguridad es que a pesar de no ser muy utilizado durante los últimos años, los desarrolladores de aplicaciones (sobre de todo de herramientas de seguridad) conocen su existencia, y todo parece indicar que ahora podría salir de nuevo a la palestra. Sin lugar a dudas, si quieren instalar malware en el equipo y que este pase desapercibido se trata de la mejor opción existente, cobijando el código bajo aplicaciones legítimas y haciendo creer al usuario que deben hacer uso de los binarios que provocan esto.
Stefan Kanthak, un investigador alemán, ha analizado los instaladores de productos que los usuarios utilizan hoy en día y el resultado ha sido el siguiente: Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt y iTunes.
Este listado de aplicaciones son en realidad las que se encuentran afectadas por este problema aunque en ese listado faltan soluciones de seguridad de Emisoft, Avira, Trend Micro o ESET, por lo que el listado final sería mucho mayor aunque este es probable que sirva como ejemplo para hacernos idea de la magnitud del problema.
Muchas empresas han parcheado sus productos contra la sustitución de DLLs
Evidentemente no se tiene información de si en algún momento durante los últimos meses alguno de los productos afectados se ha utilizado para garantizar la llegada de malware al equipo. Lo que sí que ha sorprendido es que existan tantas aplicaciones afectadas y que todas ellas sean muy utilizadas por los usuarios. Tampoco deja de ser curioso que entre todo haya una cantidad importante de soluciones de seguridad de mucho prestigio afectadas.
Según las últimas informaciones manejadas por el investigador alemán, la mayoría de los programas citados con anterioridad han resuelto el problema recurriendo a actualizaciones.