Nuevo método podría dejar Windows malware desviar la detección de

0
127

Investigadores de seguridad han descubierto una nueva manera que permite malware inyectar código malicioso en otros procesos sin ser detectado por programas antivirus y otros sistemas de seguridad de punto final.

El nuevo método fue ideado por investigadores de la empresa de seguridad Ensilo que bautizado como AtomBombing porque se basa en el mecanismo de mesas del átomo de Windows. Estas tablas especiales son proporcionadas por el sistema operativo y se pueden utilizar para compartir datos entre aplicaciones.

“Lo que encontramos es que un agente de amenaza puede escribir código malicioso en una tabla de átomo y forzar un programa legítimo para recuperar el código malicioso de la tabla,” investigador Ensilo Tal Liberman dijo en un blog. “También encontramos que el programa legítimo, ya que contiene el código malicioso, puede ser manipulado para ejecutar ese código”.

Esta nueva técnica de inyección de código no es actualmente detectada por programas de seguridad de antivirus y punto final porque se basa en funcionalidad de legítimo, según Liberman. Además, el mecanismo de mesas de átomo está presente en todas las versiones de Windows y no es algo que puede ser parcheado porque no es una vulnerabilidad.

Programas de malware utilizan técnicas de inyección de código para una variedad de razones. Por ejemplo, troyanos bancarios inyectan código malicioso en procesos de navegador para controlar y modificar sitios web localmente muestra–banca generalmente sitios Web. Esto les permite robar las credenciales de inicio de sesión y datos de la tarjeta de pago o redirigir secretamente las transacciones en sus cuentas.

Inyección de código puede utilizarse también para eludir las restricciones que permiten ciertos datos para accederse solamente por procesos específicos. Por ejemplo, puede utilizarse para robar contraseñas cifradas desde otras aplicaciones o para realizar capturas de pantalla del escritorio del usuario si el proceso mismo de malware no tiene los privilegios necesarios.

Hay sólo unas pocas técnicas de inyección código conocido y muchos productos de seguridad de punto final ya tienen mecanismos para detectarlos.

Sin embargo, “ser una nueva técnica de inyección de código, AtomBombing puentes [antivirus] y otras soluciones de prevención de la infiltración de punto final”, dijo Liberman.

Aunque el ataque no aprovechar una vulnerabilidad de software, proveedores de seguridad podrían detectar y bloquear la carga maliciosa, dijo Liviu Arsène, un analista senior e-amenaza de Bitdefender. Si la carga se ejecutan e intenta inyectar código malicioso en una aplicación legítima, el intento todavía podría ser detectado y bloqueado porque los proveedores de seguridad a menudo supervisar procesos y servicios a lo largo de su vida entera ejecución, dijo.

Para ayudar a evitar la infección de malware, Microsoft alienta a sus clientes a practicar buena computación hábitos en línea, incluyendo ejercer precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos, o archivo de aceptar transferencias, un representante de Microsoft dijo en un comunicado enviado por correo electrónico. “Un sistema debe ya estar comprometido antes de malware puede utilizar técnicas de inyección de código.”

Nuevo método podría dejar Windows malware desviar la detección de

Credit:Gerd Altmann / Pixabay

LEAVE A REPLY