Tiene como objetivo eludir la función de carpeta protegida que ofrecen los programas antivirus
Investigadores han revelado importantes debilidades de seguridad en populares aplicaciones de software que podrían ser objeto de abuso para desactivar sus protecciones y tomar el control de las aplicaciones que figuran en la lista de permisos para realizar operaciones nefastas en nombre del malware para derrotar las defensas anti-ransomware.
Los ataques gemelos, detallados por académicos de la Universidad de Luxemburgo y la Universidad de Londres, tienen como objetivo eludir la función de carpeta protegida que ofrecen los programas antivirus para cifrar archivos (también conocida como "Cut-and-Mouse") y deshabilitar su protección en tiempo real simulando eventos de "clic" del mouse (también conocido como "Control fantasma - Ghost Control en inglés").
"Los proveedores de software antivirus siempre ofrecen altos niveles de seguridad y son un elemento esencial en la lucha diaria contra los delincuentes", dijo el profesor Gabriele Lenzini, científico jefe del Centro Interdisciplinario de Seguridad, Confiabilidad y Confianza de la Universidad de Luxemburgo. "Pero están compitiendo con criminales que ahora tienen cada vez más recursos, poder y dedicación".
Dicho de otra manera, las deficiencias en el software de mitigación de malware no solo podrían permitir que un código no autorizado desactive sus funciones de protección, fallas de diseño en la solución de Carpetas Protegidas proporcionada por los proveedores de antivirus podría ser abusado por, digamos, ransomware para cambiar el contenido de los archivos usando una aplicación que proporciona acceso de escritura a la carpeta y encripta los datos del usuario, o un wipeware para destruir irrevocablemente los archivos personales de las víctimas.
Las carpetas protegidas permiten a los usuarios especificar carpetas que requieren una capa adicional de protección contra software destructivo, lo que potencialmente bloquea cualquier acceso inseguro a las carpetas protegidas.
"Un pequeño conjunto de aplicaciones incluidas en la lista blanca tiene privilegios para escribir en carpetas protegidas", dijeron los investigadores. "Sin embargo, las aplicaciones incluidas en la lista blanca no están protegidas contra el uso indebido de otras aplicaciones. Por lo tanto, esta confianza no está justificada, ya que un malware puede realizar operaciones en carpetas protegidas mediante el uso de aplicaciones incluidas en la lista blanca como intermediarios".
Un escenario de ataque ideado por los investigadores reveló que se podría usar código malicioso para controlar una aplicación confiable como el Bloc de notas para realizar operaciones de escritura y cifrar los archivos de la víctima almacenados en las carpetas protegidas. Con este fin, el ransomware lee los archivos en las carpetas, los cifra en la memoria y los copia en el portapapeles del sistema, luego de lo cual el ransomware inicia el Bloc de notas para sobrescribir el contenido de la carpeta con los datos del portapapeles.
Peor aún, al aprovechar Paint como una aplicación confiable, los investigadores encontraron que la secuencia de ataque antes mencionada podría usarse para sobrescribir los archivos del usuario con una imagen generada aleatoriamente para destruirlos permanentemente.
El ataque Ghost Control, por otro lado, podría tener serias consecuencias por sí mismo, ya que desactivar la protección contra malware en tiempo real mediante la simulación de acciones de usuario legítimas realizadas en la interfaz de usuario de una solución antivirus podría permitir que un adversario elimine y ejecute cualquier programa malicioso. desde un servidor remoto bajo su control.
De las 29 soluciones antivirus evaluadas durante el estudio, 14 de ellas resultaron vulnerables al ataque Ghost Control, mientras que los 29 programas antivirus probados estaban en riesgo por el ataque Cut-and-Mouse. Los investigadores no nombraron a los proveedores afectados.
En todo caso, los hallazgos son un recordatorio de que las soluciones de seguridad que están diseñadas explícitamente para salvaguardar los activos digitales de los ataques de malware pueden sufrir debilidades en sí mismas, frustrando así su propósito. Incluso cuando los proveedores de software antivirus continúan aumentando las defensas, los autores de malware se han escabullido de esas barreras mediante tácticas de evasión y ofuscación, sin mencionar eludir su detección de comportamiento utilizando entradas adversas a través de ataques de envenenamiento.
"La componibilidad segura es un problema bien conocido en la ingeniería de seguridad", dijeron los investigadores. "Los componentes que, cuando se toman de forma aislada, ofrecen una cierta superficie de ataque conocida, generan una superficie más amplia cuando se integran en un sistema. Los componentes interactúan entre sí y con otras partes del sistema creando una dinámica con la que un atacante también puede interactuar y de formas no previstas por el diseñador".
