Los archivos de ayuda de Microsoft (CHM) están siendo usados actualmente por los cibercriminales para distribuir software malicioso a los usuarios, de un modo que es difícilmente detectable por los antivirus.

Según ha detectado el Grupo de Investigación de Vulnerabilidades y Malware de Checkpoint, los  archivos CHM son usados normalmente como software documental y como ayuda tutorial.

“Ya que su uso es altamente común, también es poco probable que los usuarios sospechen de esta ayuda en línea”, destaca Oded Vanunu, responsable del Grupo de Investigación de Check Point.

Microsoft Compiled HTML Help es un formato de ayuda propietario que consiste en una colección de páginas HTML, así como una serie de herramientas de indexación y navegación. Estos archivos se hallan comprimidos y se despliegan en un formato binario con la extensión CHM (HTML compilado). Los archivos CHM se pueden utilizar para ejecutar código malicioso en un ordenador que funcione con Microsoft Windows Vista o superior.

CHM _Download and Execute_Check Point sreenshot

Según los investigadores, cuando un usuario arranca un archivo de ayuda de Microsoft infectado, se inicia una solicitud de descarga y ejecución de la pieza de malware. En las muestras capturadas la carga maliciosa tenía el nombre de PuTTY, un cliente de red muy popular que soporta protocolos SSH y Telnet, y que permite conexiones en remoto. Es decir, los cibercriminales están enmascarando el malware, haciéndolo pasar lo más desapercibido posible.

“Después de analizar la muestra del malware, descubrimos que la carga útil sólo era detectada por un pequeñísimo número de antivirus (3 de 35)”.

Pero lo más preocupante es que los investigadores detectaron también que era posible manipular la carga para hacerla completamente invisible a los productos de seguridad, lo que lo convierte en un método altamente peligroso. Los cibercriminales que están detrás de esta técnica utilizan, para la propagación de malware, campañas de ataque mediante las redes sociales y el correo spam. Los atacantes pueden preparar mensajes creíbles, que promueven versiones o programas muy conocidos y cuyos archivos documentales se hallan comprometidos.

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario