Al parecer, archivos Microsoft Compiled HTML Help, que se hallan comprimidos y se despliegan en un formato binario con la extensión CHM, se pueden utilizar para ejecutar código malicioso en un ordenador que funcione con Microsoft Windows Vista o superior. Si un usuario arranca un archivo de ayuda de Microsoft infectado, se inicia una solicitud de descarga y ejecución de la pieza demalware que, en las muestras analizadas, tenía el nombre de PuTTY, un cliente de red que permite conexiones en remoto. Los cibercriminales estarían enmascarando el malware haciéndolo pasar lo más desapercibido posible.
“Después de analizar la muestra del malware, descubrimos sólo era detectada por un pequeñísimo número de antivirus (3 de 35)”, asegura Vanunu. Además se detectó que también era posible manipular la carga para hacerla completamente invisible a los productos de seguridad, lo que lo convierte en un método muy peligroso. “Es un ejemplo más de cómo los cibercriminales utilizan una gran variedad de técnicas para lograr mantenerse bajo el radar de la detección antivirus”, añade el investigador.
Según la investigación, los cibercriminales que están detrás de esta técnica se valen de campañas de spam en redes sociales y correo para la propagación del malware, en las que se ofrecen nuevas versiones o programas muy conocidos cuyos archivos documentales se hallan comprometidos.
Fuente e imagen: pcworld.es