• Tweet

Quizás pienses que estás abriendo un documento, foto o video...pero de hecho estás dando paso a un archivo malicioso.

Por años, los expertos en seguridad nos han dicho que estaremos seguro si nos aseguramos de no abrir archivos EXE que aleatoriamente encontramos en línea.

Bueno, están equivocados.

Los criminales cibernéticos, con muchos recursos, emplean una amplia variedad de métodos para engañar al descargar y ejecutar un archivo binario. Ellos pueden lograrlo incluso si estás 100% seguro de que vas  abrir un documento de texto, imagen u otro formato de archivo.

Aquí se presentan algunos ejemplos de la manera en la que lo hacen:

1. Método “ocultar tipos de archivos conocidos”.

Los sistemas Windows cuentan con una opción para ocultar extensiones, establecidas por defecto, para tipos de archivos conocidos. Esto significa que, tan pronto como un programa es instalado para manejar una extensión de archivo específica, el sistema no mostrará su extensión. Por ejemplo, un archivo nombrado como “name.jpg.exe” aparecerá en el explorador de archivos como “name.jpg”, donde JPG parece ser la extensión real del archivo y no EXE. Agregan un icono JPG a ese archivo y tienen la carnada perfecta para los usuarios incautos. Sin embargo, el sistema lo ejecutará como un archivo ejecutable (EXE).

2. Método del “acceso directo”.

En este caso, se crea un acceso directo hacia un archivo malicioso. Este acceso directo puede tener cualquier nombre, o por supuesto, cualquier extensión (vamos a tomar un ejemplo con un archivo de extensión JPG). Si el acceso directo se establece para ejecutar el comando "C:\WINDOWS\system32\cmd.exe /c name.jpg", el acceso directo del archivo malicioso de nuestro ejemplo tiene una extensión JPG que será ejecutado como un archivo EXE, sin importar si las extensiones se agreguen al final.

3. Método “RTLO”.

Un archivo con el nombre “Al[RTLO]gpj.exe”, donde [RTLO] pasa como un carácter en blanco (invisible) que obliga a los caracteres a alinearse de derecha a izquierda, lo mostrará en el explorador de archivos como “Alexe.jpg”. Aunque JPG aparezca como la verdadera extensión del archivo, el Explorador de Windows tratará el archivo como es realmente, es decir, un archivo ejecutable.

4. El método del “registro”.

Asociar una extensión determinada a un tipo de archivo permite, sólo mediante el establecimiento de unos valores en la interfaz o en el registro, que los archivos con una extensión determinada sean tratados como archivos con extensiones completamente diferentes (especialmente ejecutables, que son de gran interés aquí). Por ejemplo, cuando se da doble clic en un archivo JPG, el sistema tratará de ejecutarlo sólo como una aplicación, más que enviarlo a cualquier visor de fotos que tenga instalado en su PC. Posteriormente, el atacante sólo tiene que tomar un virus, cambiar su extensión de EXE  a JPG, luego enviarlo a un equipo comprometido para ser visto. Puedes creer que es un JPG, pero tu sistema lo reconocerá mejor y lo tratará como un archivo EXE.

5. Método “aplicación debugger/spoof”.

Debugging es una técnica que ayuda a los programadores a encontrar errores en sus aplicaciones. Son de gran ayuda en la detección de problemas, así como un componente vital para la escritura, pruebas y ejecución de software. Cuando algo sale mal, puede adjuntar un debugger o depurador a una aplicación específica para ver lo que sucede cuando se ejecuta.

Los delincuentes cibernéticos han estado utilizando este método para forzar una aplicación legítima que se utiliza frecuentemente (por ejemplo, la calculadora de Windows) como un depurador. Excepto por el hecho de que en vez de un depurador legítimo, lo asocian con un virus. Así, cada vez que ejecute la aplicación, el virus (asociado a la aplicación como su depurador) es también inicializado. Es decir, si al Bloc de notas se le ha fijado como depurador malware.exe, cada vez que notepad.exe sea abierto, implícitamente cualquier archivo con extensión TXT, malware.exe también se inicializa.

6. Método “exploit”.

Este método no implica realmente un truco como la extensión del archivo. Sin embargo, haciendo uso de la vulnerabilidad de varios formatos de archivos, un exploit puede ejecutar código, inicializar un archivo que se estuviera en el disco o descargarlo de Internet. Por ejemplo, al abrir un archivo PDF manipulado, bajará e instalará una pieza de malware sin que el usuario se dé cuenta de que algo anda mal.

Debido a todo lo que se ha mencionado, es altamente recomendable contar siempre con una buena solución antivirus en su equipo. No hagas clic en descargar, a menos que confíes realmente en la fuente.