Parece que por mucho que pasen los años, Windows nunca estará exento de problemas. Hoy se ha descubierto un nuevo fallo en las utilidades de Windows que permite hacer uso de software inocuo para robar datos.
Symantec encuentra un nuevo fallo en Windows
Los investigadores de Symantec indican que este nuevo malware es un ejemplo de como atacar un sistema operativo haciendo uso de los recursos que ya se encuentran en las máquinas. Esto incluye herramientas y procesos legales y el uso de scripts sencillos sin necesidad de archivos adicionales.
En esta ocasión se han centrado en el software propio en lugar de intentar buscar vulnerabilidades externas. Así, los causantes del ataque permanecen sin ser detectados durante más tiempo y reducen el riesgo de ser detectados.
Symantec hace uso de una herramienta disponible en todos los equipos con Windows denominada Windows Management Instrumentation Command-line (WMIC). Vamos a contaros en que consiste.
Este es un proceso legitimo que ofrece una línea de comando para Windows Management Interface (WMI). WMI se utiliza para tareas administrativas en sistemas locales y remotos y se usa en diferentes tareas, procesos y para ejecutar scripts.
Esto si se une con archivos XSL permite crear una infección en múltiples etapas para robar información de equipos Windows. El ataque en cadena comienza con un enlace acortado en una URL. Si la víctima hace click se descarga el archivo con un comando WMIC. Contiene un archivo XSL con un código JavaScript ejecutado haciendo uso de mshta.exe, un proceso legítimo de Windows utilizado para abrir Microsoft HTML Application.
«El uso de WMI por los cibercriminales no es nuevo, la herramienta es utilizada para propagar pero, en este caso se utiliza para bajar un archivo malicioso. El uso de WMIC es beneficioso para los atacantes ya que les ayuda a mantenerse en el anonimato y proporciona una herramienta perfecta para sus actividades.»
Haciendo comparativas entre WMI y PowerShell, se puede comprobar si nuestro ordenador está siendo espiado o no. En enero os informábamos sobre el uso de Microsoft Office para exponer vulnerabilidades. Esto puede ser usado para minar criptomonedas y para ataques DDOS.