Cuidado con los antivirus, porque no todos serían tan seguros. Investigadores de seguridad de Cybellum acaban de descubrir una nueva estratagema que permitiría a estos ciberdelincuentes acceder impunemente a los ordenadores.
El ataque ha sido bautizado como DoubleAgent y estaría dirigido a saltarse la seguridad de Application Verifier de Microsoft. Esa aplicación que los desarrolladores usan para detectar y corregir problemas o errores en sus apps.
Los desarrolladores cargan DLL en las aplicaciones para verificarlos, pero los hackers tendrían una táctica letal. Inyectar sus propios archivos DLL infectados en lugar de los proporcionados por Microsoft.
Ahora parece que diferentes antivirus serían permisivos con esta tipología de ataque. Pero, ¿por qué sería peligroso? ¿Qué consecuencias puede llegar a tener sobre los usuarios?
Antivirus para hackear tu PC
El problema que trae consigo esta técnica es bien sencillo de entender. Al colarse dentro, las aplicaciones estarían perfectamente capacitadas para secuestrar el antivirus que tengamos instalado. También para convertirlas directamente en malware.
La aplicación que haya sufrido daños puede operar peligrosamente contra nuestros equipos. Así, puede verse afectado cualquier ordenador o dispositivo que funcione a través de una versión de Windows XP y con la última de Windows 10. Los hackers tomarían el control de nuestro equipo y, por supuesto, de toda la información que tengamos incluida dentro.
Las firmas de antivirus han sido puestas en alerta. De hecho, tres meses antes de conocerse la noticia, los responsables de estos programas fueron advertidos.
De momento, los afectados son los siguientes: Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal y Norton.
¿Y qué han hecho las firmas de antivirus al respecto?
La vulnerabilidad que se aprovecha de los antivirus para atacar a los ordenadores todavía no ha sido corregida en su totalidad. El equipo técnico de Cybellum han estado trabajando codo con codo con algunas de estas firmas, pero por ahora, solo hay dos que han sacado un parche corrector. Son Malwarebytes y AVG. Se espera, por otra parte, que Trend-Micro presente uno en breve.
Esto significa que si tienes instalado alguno de estos antivirus, deberías actualizarlo cuanto antes. Si no lo has hecho ya.
De momento, cuenta el equipo de Cybellum, su investigación se ha centrado en las aplicaciones de antivirus. Sin embargo, el ataque DoubleAgent puede afectar a cualquier aplicación e incluso con el propio sistema operativo Windows.
Un ataque directo
La compañía Cybellum ha publicado un par de vídeos en los que ejemplifica un ataque a través del antivirus Norton y otro a través de Avira. Ambos afectados por la vulnerabilidad. Tras haber actualizado el programa a la última versión disponible, se ejecuta DoubleAgent.
El programa se hace enseguida con el control del antivirus y empieza a trabajar como si fuera un ransomware, encriptando todos los archivos del usuario.
Los tentáculos de DoubleAgent se extienden y este pasa a controlar todos los procesos del antivirus. Lo mismo ocurriría con el resto de aplicaciones, si estuvieran infectadas. Por suerte, existen antivirus, como por ejemplo el de G Data, que no están en esta lista y que por tanto, no son susceptibles de ser intervenidos por DoubleAgent.