miércoles, noviembre 27, 2024
InicioNoticiasCiberseguridadLos códigos dañinos pueden ser invisibles al ojo humano

Los códigos dañinos pueden ser invisibles al ojo humano

El ojo humano no lo detectará, pero el compilador sí. Dos investigadores de la Universidad de Cambridge, Nicholas Boucher y Ross Anderson, detallan en un nuevo estudio cómo los ciberdelincuentes pueden explotar una serie de trucos para disfrazar códigos dañinos que este sea imperceptible para las personas, y no así para los compiladores.

«¿Qué pasaría si se pudiera engañar al compilador para que diera instrucciones que no coinciden con la lógica descrita en el código fuente? Hemos demostrado que esto no solo es posible en una amplia gama de compiladores en la actualidad. Pero también se puede explotar fácilmente, «Boucher y Anderson enfatizaron en un artículo técnico.

También te puede interesar ????: ¿Cuáles serán los ciberataques más comunes en el futuro en Argentina?

El descubrimiento, obtenido por ThreatPost, fue clasificado como un ataque de fuente troyana, y para mostrar esta información, los investigadores tuvieron que coordinarse con hasta 19 empresas, que actualmente están lanzando parches de seguridad para prevenir la vulnerabilidad. Esta vulnerabilidad fue aprovechada en su código.

Según Boucher y Anderson, este tipo de método puede ayudar a disfrazar los ataques cibernéticos de una manera que representa una «amenaza directa» tanto para el software propietario como para el software proporcionado por el editor y así afectar a toda la industria.

En su estudio, demuestran una prueba de concepto tangible de cómo estos ataques afectan a lenguajes como C, C, JavaScript, Java, Rust, Go o Python, aunque los propios investigadores admiten en su artículo su escepticismo de que esta tecnología también funciona contra «la mayoría de los lenguajes modernos».

Boucher y Anderson lograron distinguir las dos vulnerabilidades según el criterio CVE. Esos son CVE-2021-42574 y CVE-2021-42694. El primero se relaciona con el algoritmo BiDi del sistema Unicode, un estándar internacional que garantiza la presencia de caracteres en la red, y el segundo se relaciona con caracteres idénticos, que son caracteres que parecen iguales con otros caracteres.

El estándar Unicode garantiza, además de asegurar la presencia de caracteres, reglas como el orden de lectura (de izquierda a derecha o de arriba a abajo) según el tipo de alfabeto o símbolos utilizados en la escritura. Por lo tanto, los expertos revelaron que al combinar estas dos vulnerabilidades, los ataques al código de red están garantizados.

Por ejemplo, los ciberataques que involucran código dañinos parecen un truco conocido como RLO que implica cambiar el orden de los caracteres en la extensión (EXE o JPG) para que parezca un «archivo malicioso inofensivo».

Si el archivo termina con phylexe.doc, los atacantes pueden representar un carácter especial invisible como parte del estándar Unicode. Este es el carácter que obliga a la máquina a leer una serie de caracteres de derecha a izquierda, según lo requieran idiomas como el árabe o el hebreo.

De este modo, si se introduce ese carácter invisible justo antes de la ‘d’ de .doc’, el resultado será este: phydoc.exe

De esta forma, los usuarios que reciben archivos adjuntos de correo electrónico pueden pensar que han recibido un documento de Microsoft Word. De hecho, el documento es un ejecutable malicioso y será interpretado por la computadora.

Este truco de RLO ahora ha sido desarrollado y autocodificado. El problema ahora es cómo resolver un problema que puede resultar invisible para los profesionales de la ciberseguridad. Si bien la respuesta no está clara y la comunidad ha abordado el problema, John Gaines, un experto en seguridad de aplicaciones de nVisium, considera lo siguiente de ThreatPost.

Gaines ofrece a los profesionales que quieran comprobar si su código incluye estos consejos para copiarlo y pegarlo en un editor hexadecimal.

Si se reescribe el código, el objetivo que intenta protegerse no sabrá si hay caracteres Unicode ocultos que intenten crear esta vulnerabilidad. El editor hexadecimal debería poder dar pistas sobre lo que realmente está haciendo el código.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

LO MÁS LEÍDO