Los piratas informáticos están constantemente buscando nuevas formas de atacar de forma masiva a los usuarios. Para ello generalmente suelen buscar distintas formas de engañar a los usuarios, saltarse la protección de los antivirus e incluso distribuirse a través de la red de forma masiva. Y todo esto es lo que consigue un nuevo troyano, oculto dentro de un WAV, que, desde hace unos días, está infectando a usuarios de todo el mundo.
Los investigadores de seguridad de Guardicore han detectado un nuevo y complejo troyano que, hasta ahora, ha infectado a más de 800 empresas, además de una gran cantidad de usuarios.
Aunque seguramente todos conozcamos este formato, un WAV es un formato de audio digital, que puede llevar o no compresión, desarrollado por Microsoft y de IBM. Este se utiliza para almacenar sonidos en el PC. Es compatible con mono y estéreo y se puede personalizar a diversas resoluciones y velocidades de muestreo.
No llama la atención y no lo detectan los antivirus
Los investigadores de seguridad que han dado con esta amenaza aseguran que los piratas informáticos han escondido esta amenaza dentro de un archivo WAV para no levantar sospechas. Dentro de él han incluido un software de minado de criptomonedas, concretamente Monero, y además un gusano que se aprovecha de EternalBlue para infectar a todos los demás ordenadores de la red.
Todas estas amenazas habían sido bien programadas de manera que no levantara la sospecha de los usuarios ni de los antivirus. Aparentemente se trataba de un fichero de audio WAV inofensivo, aunque al ejecutarlo es cuando se desencadenaba la amenaza.
Sin embargo, un curioso error en la programación del troyano ha puesto en evidencia a los piratas informáticos.
El fichero WAV genera un pantallazo azul en el PC por error
Cuando se intentaba ejecutar el fichero VAW, los usuarios se encontraban con un pantallazo azul en el ordenador. Dado que los pantallazos azules estaban aumentando exponencialmente por todo el mundo, y en todo tipo de empresas, finalmente estos investigadores de seguridad empezaron a investigar. Y se encontraron con esta amenaza.
Cuando se ejecutaba el fichero WAV, los ordenadores se encontraban con un error crítico al final de uno de los scripts PowerShell, codificado en base64, ocultos en este fichero.
Esto hacía que la máquina se bloquease, devolviendo un pantallazo azul y forzando un reinicio del sistema. Ni el gusano ni el software de minado de criptomonedas llega a ejecutarse en el sistema.
Cómo protegernos de este troyano y otros similares
Los investigadores de seguridad aseguran que este troyano solo ha infectado a empresas medianas. De todas formas, no se descarta que haya llegado a otros usuarios debido a su módulo EternalBlue.
La mejor forma de protegernos de esta amenaza informática es básicamente tener Windows actualizado con los últimos parches de seguridad. EternalBlue es una vulnerabilidad parcheada hace años. Por ello, si nuestro ordenador no es vulnerable no podremos infectarnos de forma pasiva a través de la red. Y si queremos estar seguros, también podemos bloquear todas las conexiones SMB desde nuestro firewall.
En cuanto al resto de vías de infección, las medidas de seguridad que debemos tomar son las típicas. Por ejemplo, debemos evitar ejecutar en nuestro ordenador archivos WAV que nos lleguen a través del correo electrónico. También debemos controlar los otros medios (descargas, USBs, etc). Y, por supuesto, contar con un buen antivirus actualizado controlando todo lo que se ejecuta en nuestro PC.
Por último, indicar que aunque este primer troyano no haya tenido mucho éxito, la técnica sí lo ha sido. Lo que no descarta que en las próximas semanas o los próximos meses veamos nuevas amenazas ocultas en WAV, o en otros formatos, que pongan en jaque nuestra seguridad.
Mejor estar preparados para lo que pueda llegar. Así evitaremos tener que lamentarnos después.