Troyano en Microsoft Update Catalog

La presencia de malware en sitios legítimos es algo que, actualmente, no debería sorprendernos. Normalmente se trata de páginas webs albergadas en servidores cuyos administradores han descuidado o no han securizado lo suficiente pero, como en el caso que hoy nos ocupa, también puede afectar a grandes empresas como a la propia Microsoft. Según nos comenta nuestro compañero Aryeh Goretsky, distinguido investigador de ESET, se ha descubierto una amenaza camuflada de actualización (aunque no pertenece a ningún producto de Microsoft) que realmente contiene un troyano y que se aprovecha del catálogo de actualizaciones de Microsoft para propagarse.

Antes de echarnos las manos a la cabeza primero hemos de recordar que el servicio de Microsoft Update Catalog no solo proporciona actualizaciones de sus productos si no que también sirve como plataforma de distribución de drivers para dispositivos como tarjetas gráficas, impresoras, etc. Es, precisamente, otro de estos productos lo que intenta descargarse una actualización que contiene un troyano en su interior y, casualmente, ya protagonizó un caso parecido el año pasado. Esta amenazas se encuentra dentro de unos drivers para el cargador de baterías Energizer® DUO USB Battery Charger que ya incluía un software con troyano de regalo tal y como analizamos en este mismo blog.

Parece ser que el fabricante de este cargador ha vuelto a distribuir unos drivers que contienen un troyano de nombre Win32/Arurizer y que permitiría el acceso remoto a la máquina que instalase el driver infectado. En un caso como este, en el que se está sirviendo malware desde un sitio tan usado la velocidad de reacción es vital para evitar que miles de usuarios se infecten accidentalmente y Microsoft ha sabido reaccionar a tiempo, no solo retirando el archivo malicioso de su catálogo si no también bloqueando la web desde la que se realizaba la descarga usando el filtro SmartScreen de Internet Explorer.

Desconocemos como pudo la empresa Energizer llegar a cometer 2 veces el miso error pero un caso como este nos demuestra la importancia de revisar todo el código del software que luego se va a proporcionar a los usuarios. No es, desde luego, un caso aislado ya en los últimos meses hemos visto como aplicaciones albergadas en varios servidores de actualizaciones (ya sean para Windows, Mac OS o GNU/Linux) sufrieron modificaciones con la intención de infectar al mayor número de usuarios. Es por ello que, desde el laboratorio de ESET en Ontinet.com recomendamos tener un sistema de protección antivirus eficaz capaz de detectar incluso las amenazas que se camuflan en archivos aparentemente legítimos e independientemente de nuestro sistema operativo.

Josep Albors

Sin comentarios

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..