Infección por UNITRIX

Nota preliminar: Comienzo diciendo que no estamos frente a un aporte que involucre un nuevo exploit. No obstante, no lo conocía ni  vi nada por el foro cuando, en esos momentos de googleo, encontré la información.

Asimismo, si se observa la evolución del malware, no pocas veces éste se presenta cíclico, y las técnicas abandonadas de ayer, vuelven a atacar en el presente con pequeños cambios.

Por otra parte, sin llegar a hablar de usuarios expertos, en general si tiene idea de la conveniencia de que las extensiones de los archivos se muestren y que poco o nada quede oculto.

Bien sabemos, que un file .exe puede venir oculta bajo una imagen .JPG o cualquier otra, y que un user descuidado puede dar click sin verificar la auténtica extensión. Alcanza  una estratagema de camuflaje bajo el nombre foto.jpg.exe.

Si bien es cierto que, en cierta medida, se ha derribado el mito que solo las los ejecutables .exe pueden implicar malware. A modo de ejemplo, los archivos .bat, .scr, ,.vb, .vbe, .vbs, .lnk, entre otras, pueden ejecutar o llamar códigos maliciosos, sumado a los .doc y .pdf que no están libres.

En esta línea de pensamiento, el exploit Unitrix (así denominado por la firma de seguridad AVAST) se vale de este ardid para intentar colarnos malware; en la medida que se sirve del sistema No tienes permitido ver los links. Registrarse o Entrar a mi cuenta de aquellos lenguajes que se leen/escriben de derecha a izquierda, como el  hebreo, árabe o sirio, para encubrir archivos ejecutables bajo imágenes, documentos o archivos de sonido, que en principio parecen inofensivos.

El exploit Unitrix emplea un código oculto, y en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta nos dicen:

CitarConcretamente, el carácter utilizado es el U+202E "Right-to-Left Override", y fuerza a los programas a mostrar el texto en orden inverso. Esto hace que un archivo llamado "Canción [U+202e]3pm.SCR" pase a llamarse "Canción RCS.mp3", y así pueden intentar colarnos cualquier ejecutable prácticamente sin que nos demos cuenta.

La compañía Avast que en su momento alertó de esta técnica, informó que el malware descargado una vez que es ejecutado, abre una puerta trasera y un rootkit que alberga código infeccioso.

Como medida de prevención, se recomienda (la regla es desconfiar), dar un solo clic al archivo e ir a "cambiar de nombre"; donde se podrá observar la extensión real del file.

Desde luego, las medidas de seguridad como sandbox o máquinas virtuales, controlar el clic indiscriminado y el sentido común, siguen muy vigentes.

Saludos

Gabriela