Aparece un nuevo malware que invierte el texto en los nombres de archivo

Utilizando la tecnología RLO, que invierte el orden de lectura de los caracteres de derecha a izquierda, los hackers consiguen que los usuarios abran archivos ejecutables.

Un investigador de seguridad ha advertido de un nuevo tipo de malware que invierte y esconde el ‘exe’ de archivo ejecutable en el nombre de un archivo, haciendo que parezca, por ejemplo, un archivo de texto o .doc.

Ha sido Lordian Mosuela, investigador de la compañía israelí Commtouch, quien ha informado que el carácter de control unicode RLO (Right-to-left-override) está permitiendo a los hackers ejecutar código como si fuera otro tipo de nombres de archivo, ya que invierte el orden de lectura.

La tecnología RLO se utiliza normalmente en idiomas que se leen de derecha a izquierda, como el árabe o el hebreo, pero ahora está siendo explotado por los cibercriminales con el objetivo de hacer que los cibercriminales pinchen sobre archivos aparentemente inocuos.

Por ejemplo, `CORP_INVOICE_08.14.2011_Pr.phylexe.doc’ se convertiría en `CORP_INVOICE_08.14.2011_Pr.phylcod.exe’ o, lo que es lo mismo, en un archivo ejecutable.

La mecánica de funcionamiento de RLO hace que el destinatario se equivoque y abra un archivo que podría ser peligroso, asegura el investigador, que explica también que el ejemplo propuesto incorpora una variante de Bredolab.

La defensa consiste en mantener las definiciones antivirus actualizadas y evitar adjuntos sospechosos, incluso si proceden de alguien de confianza, dice Lordian Mosuela en su post.