Utilizan vulnerabilidad en Winrar para atacar a empresas y gobiernos

| 02 Abr, 2014 | Ciberamenazas | 2 comentarios

En este artículo adaptamos el que nos traen nuestros compañeros del laboratorio de ESET Latinoamérica desde el blog WeLiveSecurity, donde se analiza una vulnerabilidad en WinRAR (el popular software de compresión de archivos).

Esta vulnerabilidad fue descubierta por el investigador israelí Danor Cohen y hay pruebas que demuestran que está siendo aprovechada en una campaña de malware dirigida a gobiernos, organizaciones internacionales y grandes empresas.

winrarlogo

El fallo de seguridad permite que los atacantes creen un archivo ZIP que aparenta contener un archivo como, por ejemplo, una foto, pero que en realidad puede contener un archivo ejecutable malicioso, lo que podría provocar una infección del sistema. De esta forma, un atacante puede comprimir fácilmente cualquier tipo de malware con WinRAR y luego hacer pasar este archivo como un fichero ZIP aparentemente inofensivo.

La vulnerabilidad fue bautizada por Cohen como “spoofing de extensión de archivo de WinRAR”, y según los investigadores de IntelCrawler, está presente en todas las versiones de este popular software, incluyendo la 5.1. La explotación de esta vulnerabilidad se produce cuando WinRAR comprime un archivo y crea nuevas propiedades, incluyendo la función de “cambiar el nombre del archivo”. Al alterar esta información, el ZIP informará que contiene algo diferente a lo que realmente alberga.

De acuerdo a IntelCrawler, los atacantes están aprovechándose de esta vulnerabilidad desde el 24 de marzo para realizar una campaña de ciberespionaje dirigida a corporaciones aeroespaciales, empresas militares subcontratadas, embajadas y otras grandes empresas. Una de las muestras era un email de spam que decía provenir del Consejo Europeo de Asuntos Legales, y en el que se adjuntaba un archivo ZIP malicioso y protegido con contraseña, la cual se incluía en el cuerpo del email.

Siendo WinRAR una aplicación bastante extendida, cabe esperar que encontremos más casos de este tipo incluso dirigidos a todo tipo de usuarios y no solamente a grandes empresas y gobiernos. Por eso, y hasta que el fabricante solucione esta vulnerabilidad, es importante que desconfiemos de aquellos adjuntos comprimidos con esta herramienta que no hayamos solicitado y, sobre todo, no los abramos por mucho que su contenido pueda parecer inofensivo.

Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

2 Comentarios
  1. unchusco

    ¿Alguno recomienda alguna forma para protegerse en una organización que tiene miles de usuarios que usan winrar?

  2. Laura Grau Berlanga

    La vulnerabilidad está presente en WinRAR, en el programa que descomprime los archivos, así que debería bastar con cambiar el programa. Efectivamente, si hay miles de usuarios que lo usan, el problema es grande, por lo que lo mejor sería analizar todos los archivos comprimidos con el antivirus antes de abrirlos. Es una opción presente en todos los productos, aunque tiene la contrapartida de consumir más recursos.

    Un saludo,

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..