El laboratorio de Ontinet.com, distribuidor exclusivo de ESET en España, alerta sobre la aparición de un nuevo sistema de ataque que aprovecha una vulnerabilidad, aún no corregida, de los sistemas Windows para propagar malware a través de los dispositivos de memoria conectados a los puertos USB y de la función de compartir archivos de Windows y WebDav.

Esta amenaza evita el uso habitual de la función Autorun para propagarse aprovechando los archivos ‘.lnk’, y puede infectar equipos simplemente con que el usuario abra una unidad con un explorador de archivos capaz de mostrar iconos, sin que sea necesario que ejecute ningún fichero.

Las primeras muestras de malware detectadas utilizando esta vulnerabilidad aparentemente se diseñaron para atacar sistemas SCADA, generalmente usados en el control de infraestructuras críticas.

Desde el laboratorio de ESET en Ontinet.com se recomienda la descarga e instalación de una solución antivirus con capacidad de detección de malware con funcionalidades de rootkit para evitar ser presas de esta amenaza.

Vulnerabilidad no corregida

“Se trata de una vulnerabilidad de la que ha informado Microsoft pero que todavía no está corregida y, por ello, requiere que los usuarios tengan el mayor cuidado al manejar los archivos que reciben y transfieren a sus dispositivos a través de USB aunque se hayan tomado las medidas necesarias para evitar la ejecución de los ficheros autorun”, señala Fernando de la Cuadra, director de Educación de Ontinet.com. La vulnerabilidad afecta a todas las versiones de Windows existentes y todavía no se ha puesto en circulación un parche que pueda solucionarla.

Las primeras muestras de malware que ya usan esta vulnerabilidad como vector de ataque consiguen ocultarse en el sistema usando técnicas de rootkit, lo que dificulta su detección.

Además, los cibercriminales que han puesto estos primeros códigos maliciosos en circulación han suplantado la identidad de empresas legítimas para firmar sus creaciones y hacerlas pasar por válidas. Así lo explica Josep Albors, responsable técnico de Ontinet.com, que incide en que “si se analizan las propiedades de los archivos maliciosos se observa que poseen el certificado de Realtek Semiconductor Corp., empresa legítima que nada tiene que ver con el desarrollo de malware. Por suerte, VeriSign, la empresa encargada de emitir este certificado, ya lo ha anulado”.

Cómo defenderse de este ataque

Desde el laboratorio de ESET en Ontinet.com se ha elaborado una guía rápida de defensa para mitigar los efectos de este ataque. Estas son las pautas básicas:

• Contar con un antivirus capaz de frenar amenazas que utilicen funciones de ocultación en el sistema mediante rootkits.
• Leer y aplicar las instrucciones proporcionadas por Microsoft para mitigar este ataque. 
• Instalar la actualización de seguridad tan pronto como esta se encuentre disponible. 
• Los usuarios de Windows XP SP2 y Windows 2000 deben tener en cuenta, además, que sus sistemas operativos de encuentran fuera de su ciclo de vida y no recibirán más actualizaciones de seguridad, por lo que tendrán que tener en cuenta que estarán desprotegidos ante esta y futuras amenazas.