Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Lobos con piel de cordero: no te fíes de un fichero por su icono

Lobos con piel de cordero: no te fíes de un fichero por su icono

Por Deja un comentario

Un fallo detectado a la hora de procesar determinado tipo de iconos en Windows permitiría simular documentos benignos para albergar malware y engañar al usuario.

Un reciente estudio de la firma de seguridad Cybereason ha revelado un fallo a la hora de procesar determinados formatos de icono que, usado junto a un problema con la caché de iconos de Windows, permitiría a cualquier PE (Portable Ejectutable) modificar la representación de su icono de programa para simular un documento benigno o cualquier otro icono de sistema.
La técnica parece haber sido utilizado por variantes del ransomware “Cerber” entre otros, y técnicamente se basa en un fallo de los sistemas Windows a la hora de manejar iconos en formato “True Monochrome”. En vez de cargar el icono original presente dentro del ejecutable, el sistema carga un representación totalmente diferente basándose en la caché de Iconos de Windows, como se puede ver en el vídeo ilustrativo:

El fallo reportado a Microsoft, estaría presente en la clase ‘CImageList‘ de la librería comctl32.dll afectando a todas las versiones de Windows desde la 7 hasta la presente Windows 10.

Como medida general de protección, recordamos activar siempre la opción de mostrar la extensión de fichero en el explorador de Windows.

Más información:

A zebra in sheep’s clothing: How a Microsoft icon-display bug in Windows allows attackers to masquerade PE files with special icons
https://www.cybereason.com/labs-a-zebra-in-sheeps-clothing-how-a-microsoft-icon-display-bug-in-windows-allows-attackers-to-masquerade-pe-files-with-special-icons/

Cybereason discovers Windows icon display bug allowing attackers to masquerade files
https://www.youtube.com/watch?v=cF3sw80oBjY @page { margin: 2cm } p { margin-bottom: 0.25cm; line-height: 120% } a:link { so-language: zxx } @page { margin: 2cm } h1 { margin-bottom: 0.21cm } h1.western { font-family: “Liberation Serif”, serif } h1.cjk { font-family: “Lucida Sans Unicode”; font-size: 24pt } h1.ctl { font-family: “Lucida Sans”; font-size: 24pt } p { margin-bottom: 0.25cm; line-height: 120% } a:link { so-language: zxx }

José Mesa

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.