Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

¿Se puede ocultar malware en los vídeos?

Por Vinh Lam, director técnico sénior de programas
Última actualización:
Comparte esta publicación

Analizaremos los tipos de amenazas que los atacantes pueden ocultar en archivos multimedia o de vídeo, como los archivos WMV, para lanzar ataques y descargar malware. Además, veremos cómo reducir el riesgo de estos ataques con OPSWAT mediante la detección, la prevención y el análisis de amenazas basadas en archivos.

Índice:

Técnicas de ataque mediante archivos de vídeo

Hace unos años, publicamos una entrada en el blog en la que se destacaban los riesgos que entrañan los archivos de vídeo y cómo los atacantes los utilizan para distribuir malware. En ella analizamos dos tácticas: el aprovechamiento de vulnerabilidades y el uso indebido de funciones legítimas.

Aprovechar una vulnerabilidad

La verificación del tipo de archivo comprueba que el tipo de archivo sea el correcto. No podemos confiar en el encabezado «Content-Type» ni en la extensión que define el tipo de archivo, ya que pueden ser falsificados. Lamentablemente, muchos reproductores multimedia no verifican rigurosamente la estructura de los archivos de vídeo, lo que da lugar a varias vulnerabilidades que pueden ser explotadas.

Por ejemplo, Media VLC 3.0.11 presentaba la vulnerabilidad CVE-2021-25801, que permitía a los atacantes provocar una lectura fuera de límites mediante un archivo AVI manipulado, lo que da lugar a la lectura de datos de un búfer fuera de los límites previstos, provocando fallos del sistema, un comportamiento incorrecto del programa o la divulgación de información confidencial. La vulnerabilidad CVE-2019-14553 en VideoLAN VLC media player 3.0.7.1 puede provocar una vulnerabilidad de uso tras liberación (use-after-free), un tipo de fallo de corrupción de memoria en el que una aplicación intenta utilizar memoria liberada, lo que da lugar a bloqueos, resultados inesperados o la ejecución de cargas maliciosas.

Abusar de una función legítima

Otra técnica de ataque aprovecha una función legítima del reproductor multimedia para distribuir malware a través de vídeos. Por ejemplo, los atacantes pueden aprovechar la función «Script Command» de Windows Media incrustando malware en un hipervínculo dentro del vídeo.

Cómo la apertura de un archivo de vídeo puede provocar la descarga de malware

La demostración que se muestra a continuación ilustra cómo una víctima puede descargar involuntariamente malware en su dispositivo al abrir un archivo de vídeo.

Esta técnica muestra cómo los atacantes aprovechan una función legítima como vector de ataque. Script Command es una función esencial de Windows Media : permite que el reproductor multimedia interactúe con un navegador mientras reproduce un archivo para descargar códecs de vídeo o realizar un seguimiento. A pesar de su potencial de explotación, Script Command es una función esencial de Windows Media . Un archivo de vídeo WMV se basa en el formato contenedorMicrosoft Advanced Systems Format (ASF)y se comprime con Media Windows Media . ASF puede contener un objeto Script Command que se utiliza para transmitir texto y proporcionar comandos que pueden controlar elementos dentro del entorno del cliente.

ASF admite comandos de script sencillos, como URLANDEXIT, que, al ejecutarse, abre automáticamente una URL incrustada en el archivo de vídeo en el navegador predeterminado. Los ciberdelincuentes aprovechan esta función para incitar a la víctima a descargar un archivo malicioso camuflado como un complemento, una actualización o un códec necesario para reproducir el contenido multimedia, con el fin de comprometer el sistema del usuario.

En este ejemplo, el atacante había insertado una URL maliciosa en un archivo multimedia legítimo.

Captura de pantalla de una descarga correcta de un archivo malicioso

Podemos ver la URL con una aplicación de lectura de códigos hexadecimales:

Captura de pantalla de una URL maliciosa en un lector hexadecimal

Cómo eliminar objetos maliciosos con Deep Content Disarm and Reconstruction

La tecnología Deep CDR™ (Content Disarm and Reconstruction) trata cada archivo como una amenaza potencial. Procesa y analiza los archivos para eliminar los objetos no autorizados, con el fin de garantizar que todos los archivos que llegan a su organización sean seguros para su uso. Al mismo tiempo, la tecnología Deep CDR™ reconstruye el contenido del archivo para mantener su funcionalidad completa, de modo que los usuarios puedan ver el vídeo sin descargar malware.

Al procesar el archivo infectado con MetaDefender Core detecta el comando URLANDEXIT en el archivo.

La tecnología Deep CDR™ elimina el objeto URLANDEXIT y el objeto Script Command. El nuevo archivo reconstruido sigue siendo totalmente funcional. Los atacantes no pueden descargar malware.

Captura de pantalla de MetaDefender deep cdr desactivandodeep cdr un archivo .wmv malicioso

Cómo detectar y descubrir malware evasivo mediante el análisis Adaptive

Podemos analizar el archivo con el motor de análisis adaptativo de amenazas en entorno aislado MetaDefender para profundizar en el comportamiento y las capacidades del malware.

MetaDefender es un entorno de pruebas de última generación que utiliza análisis adaptativo de amenazas, lo que permite la detección de malware de día cero, una mayor extracción de indicadores de compromiso (IOC) e inteligencia sobre amenazas útil para la toma de decisiones.

Obtenemos información más detallada sobre la amenaza al procesar el archivo WMV con la tecnología Deep CDR™ y Filescan. Filescan el archivo desde URLANDEXIT y realiza un análisis estático para proporcionar más detalles sobre el comportamiento, las tácticas, las técnicas y los indicadores de compromiso (IOC) del malware.

Captura de pantalla delFilescan  MetaDefender Filescan analizando un archivo .wmv malicioso

Advanced Threat Detection prevención deAdvanced Threat Detection de OPSWAT

Las tecnologías OPSWAT protegen aplicaciones, redes y dispositivos frente a ataques de día cero, malware evasivo y ataques dirigidos avanzados. Además de los archivos multimedia, la tecnología Deep CDR™ también analiza y desinfecta de forma recursiva más de 130 tipos de archivos, incluidos algunos complejos como archivos comprimidos anidados, archivos adjuntos de correo electrónico, documentos incrustados e hipervínculos. El archivo reconstruido sigue siendo totalmente utilizable y funcional.

Póngase en contacto con uno de nuestros expertos técnicos para obtener más información sobre la tecnología Deep CDR™, Filescan y otras tecnologías de prevención de amenazas.

Habla con un experto

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.