Amenazas en archivos de Quicktime video

Los archivos maliciosos que pretenden descargar falsos códecs en nuestro sistema son una constante desde hace ya bastantes meses. Lo normal es que, cuando intentamos ejecutar cualquier archivo de audio o video (normalmente en un contenedor .avi o .mp3) modificado con fines maliciosos, se abra nuestro reproductor multimedia (en la mayoría de los casos Windows Media Player) y se nos solicite la descarga de un fichero camuflado de códec para poder visualizarlos. Si no somos precavidos ni contamos con un antivirus eficaz que detecte estas amenazas, terminaremos con nuestro sistema infectado.

Este vector de ataque ha ido perfeccionándose con el tiempo y, lo normal en estos días, es que la solicitud de instalación del falso códec se realice tras acceder a través de algún enlace a alguna web que, supuestamente, nos muestra algún video usando servicios como Youtube o similares. No obstante, recientemente hemos venido observando cómo se están empleando archivos de Quicktime Video (con extensión .mov) para propagar códigos maliciosos usando estas técnicas.

Investigadores de Trend Micro avisaron la semana pasada de que habían detectado un par de videos (“001 Dvdrip Salt.mov” y “salt dvdrpi [btjunkie][xtrancex].mov”), que supuestamente contenían la última película protagonizada por la actriz Angelina Jolie, compartiéndose en las redes de pares, torrents y servicios de descarga directa de archivos. Tras analizar estos archivos, descubrieron que solicitaba la descarga de un códec malicioso para poder visualizarlos y que en realidad se trataba de un troyano. Posteriormente también comprobaron cómo estos códecs maliciosos instalaban también una barra de publicidad no deseada y que contenía más troyanos.

Nuestro compañero e investigador David Harley de ESET USA junto con el responsable del laboratorio de ESET, Juraj Malcho, investigaron este caso y lograron detectar mas muestras de malware que usaban esta técnica de infección y que ESET clasificó como MOV/Exploit.QuickTime.A.

Al parecer, estos troyanos están preparados para descargar una serie de archivos de video maliciosos y que generan sus nombres a partir de una lista, con la finalidad de generar nombres de archivos atractivos para los usuarios y conseguir el mayor número de infecciones posible. Se puede encontrar información más detallada acerca de estos troyanos, los nombres de archivos usados para generar los archivos y la nomenclatura usada por ESET para estos códigos maliciosos en el post de David Harley hablando sobre este mismo tema.

Cabe recordar que, las muestras detectadas hasta el momento de escribir este artículo solo afectan a sistemas Windows aunque, al tratarse Quicktime de una aplicación multiplataforma, no deberíamos extrañarnos si apareciesen variantes que infectasen a sistemas Mac OS. Desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar estas amenazas antes de que logren infectar nuestro sistema.

Josep Albors

Sin comentarios

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *