WinRAR es el compresor de archivos más conocido que podemos encontrar para cualquier sistema informático. Este programa es el creador del famoso formato RAR, y de su eterna versión de prueba de 40 días que ha dado lugar a tantos comentarios y ‘memes’ a lo largo de la historia. Un compresor, como WinRAR, es esencial para cualquiera que utilice un ordenador y, sobre todo, descargue archivos de Internet.
Los antivirus, por lo general, están preparados para analizar archivos comprimidos. Por ejemplo, cuando bajamos un archivo de Internet, el programa de seguridad busca en su interior cualquier amenaza. Lo mismo ocurre cuando lo ejecutamos y, por supuesto, cuando intentamos descomprimirlo. Sin embargo, han encontrado una técnica con la que los antivirus no son capaces de analizar los archivos antes de copiarlos y ejecutarlos en el PC: usar archivos autoextraíbles, o SFX.
-Así funcionan las amenazas SFX de WinRAR
Los archivos SFX son un tipo de fichero que puede crear WinRAR, u otros programas como 7-Zip, que están diseñados para poder ser autoextraíbles, es decir, que se pueden descomprimir sin necesidad de usar un compresor de archivos, simplemente haciendo doble clic. Este formato está pensado, sobre todo, para compartir archivos comprimidos con usuarios que no tienen el programa instalado.
Un archivo autoextraíble tiene las mismas propiedades que un archivo comprimido normal, es decir, podemos reducir su tamaño, aplicarle ciertas configuraciones, e incluso proteger los datos con contraseña para evitar que usuarios sin permiso (y antivirus) puedan leer su contenido.
Aprovechándose de esta técnica, un grupo de piratas informáticos ha estado aprovechándose de la herramienta ‘utilman.exe’, una herramienta de accesibilidad de Windows que se ejecuta antes de iniciar sesión en el PC, para que ejecutase un archivo SFX, protegido con contraseña, de manera que pudiese ejecutar comandos en el ordenador afectado.
El archivo autoextraíble, en un principio, escondía solo un archivo de texto vacío, pero esto era solo un señuelo. En realidad, los investigadores de seguridad descubrieron que esta técnica estaba siendo usada para ejecutar comandos de CMD y PowerShell con el simple hecho de abrir este archivo SFX. Al ejecutar el archivo se abría una puerta trasera en el PC, la cual se utilizaba para conectarse de forma remota al ordenador afectado.
-¿Cómo protegernos?
Es complicado que los antivirus puedan detectar este tipo de amenazas. Y seguramente las firmas de seguridad no se centren ahora en mejorar sus programas para detectar una amenaza típica de hace 10 o 15 años. Por ello, la seguridad de nuestros sistemas depende directamente de nosotros.
Para evitar caer en las garras de los piratas es necesario prestar mucha atención a los tipos de archivos que ejecutamos. También debemos tener cuidado con los archivos SFX que bajamos de Internet y ejecutamos, y usar herramientas especiales para buscar posibles comandos y scripts ocultos en estos archivos.