Pingback: conoce esta nueva amenaza que afecta a Windows

Una nueva amenaza sacude a Windows. Se trata de Pingback, un malware que utiliza el Protocolo de mensajes de control de Internet (ICMP, por sus siglas en inglés) para llevar a cabo actividades de comando y control. Es capaz de cargar DLL malicioso y poner en riesgo la seguridad de los usuarios. Vamos a dar algunos consejos importantes sobre cómo podemos protegernos de este problema y preservar siempre la seguridad.

Pingback, un nuevo malware que afecta a Windows

Hay que tener en cuenta que Windows 10 es hoy en día el sistema operativo más utilizado en equipos de escritorio. Esto hace que al aparecer una nueva amenaza puedan ser muchos los usuarios que se vean afectados. Debemos por tanto tomar precauciones y no tener problemas.

Los investigadores de seguridad de Trustwave que han descubierto este problema han apodado al malware como Pingback. Afecta a los sistemas de 64 bits de Windows y, como hemos indicado, se basa en el secuestro de DLL para lograr su objetivo.

Este malware apunta al Protocolo de mensajes de control de Internet, algo que es utilizado por el comando ping y por traceroute, en Windows. Concretamente utiliza un archivo de 66 KB con el nombre oci.dll y lo coloca en la carpeta System a través de otro vector de ataque o proceso.

Sin embargo, como indican los investigadores de seguridad, esta amenaza no se cargó a través de rundll32.exe, como es habitual, sino a través del secuestro de DLL. Se trata de una técnica que utilizan los cibredelincuentes para colar un archivo DLL malicioso en una carpeta en la que el sistema operativo va a confiar y así lograr que una aplicación legítima lo ejecute.

Concretamente, los piratas informáticos han utilizado el proceso Microsoft Distributed Transaction Control (msdtc) para ejecutar oci.dll, el archivo malicioso. El archivo oci.dll real se trata de una biblioteca de Oracle.

Ataque Pingback

Se desconoce el método de entrada

Al tiempo de escribir este artículo, los investigadores de seguridad desconocen exactamente cómo han podido introducir el archivo oci.dll malicioso. No obstante, sospechan que puede ser a través de otra muestra de malware, Updata.exe.

Esta amenaza, una vez es lanzada a través de msdtc, utiliza ICMP para recibir comandos de su servidor. Indican también los investigadores que Pingback permanece oculto para los usuarios, por lo que eso es una ventaja de cara a los atacantes. Al no utilizar TCP ni UDP es más difícil de detectar por parte de determinadas herramientas.

Una vez más podemos ver la importancia de mantener siempre nuestros equipos seguros. Es muy importante tener el sistema actualizado, ya que así evitaremos vulnerabilidades que puedan ser aprovechadas por los piratas informáticos para lanzar sus ataques. Son los propios desarrolladores los que lanzan esos parches para corregir problemas. Debemos evitar que entren en el ordenador y puedan atacarnos.

Pero también es imprescindible contar con programas de seguridad. Un buen antivirus, firewall y otras herramientas pueden ayudarnos a evitar problemas. Nos ayudan a analizar archivos que puedan ser maliciosos y que comprometan seriamente nuestra seguridad.

Otra cuestión esencial es el sentido común. Hay que tener en cuenta que en la mayoría de casos los piratas informáticos van a requerir de la interacción del usuario para ejecutar sus amenazas. Debemos evitar cometer errores que puedan afectarnos.