Diez años después de que se descubriese esta técnica por primera vez en internet, utilizada normalmente para introducir un troyano sencillo, a día de hoy los fabricantes de malware siguen aprovechándose de este fallo para seguir introduciendo todo tipo de viruses. Hace diez años, los usuarios de Windows descubrieron la desagradable sorpresa de que el paquete de DRM dentro de Windows Media Player podía utilizarse para enviar malware a otros PCs. Cada vez que el usuario intentaba reproducir un archivo protegido con DRM en Windows Media Player, la aplicación mostraba un popup, preguntando al usuario si le daba autorización a la URL que verificaría su licencia, o les permitiría comprar una licencia y ver el contenido del archivo.
Algunos hackers que distribuían películas piratas o canciones a través de KaZaA o eMule descubrieron que podían poner DRM en sus archivos, pero en vez de mandarte a una URL de autorización, incluían un enlace al malware.
La misma técnica y el mismo vector de ataque, sólo que diez años después
Hoy en día, diez años después, y según un informe de la compañía experta en seguridad cibernética Cyren, esta técnica se sigue usando con éxito. De hecho acaba de ser detectada como el origen de una infección reciente. Esta vez, los autores del malware modificaron un archivo de vídeo (“War-Dogs-2016-720p-BrRip-x264-SiNNERS”) que les pedía a sus usuarios que verificasen sus licencias. Cuando los usuarios aceptaban la petición, se abría un nuevo popup (os mostramos la imagen a continuación) que usaba un mensaje bastante convincente para que los usuarios se descargaran, en teoría, unos codecs nuevos para poder ver el vídeo correctamente.
Dado que los usuarios de hoy en día estamos acostumbrados a actualizar los códecs cada cierto tiempo, hay muchas posibilidades de que un gran número de usuarios aceptasen y descargasen el enlace, descargando así el malware e infectándose. Por otro lado, Microsoft ha intentado solucionar el problema con este vector de ataque incluyendo un aviso en el popup original del DRM que dice así:
“Las páginas web pueden contener elementos dañinos para tu PC. Es importante estar seguro de que el contenido que descargas es de una página de confianza antes de continuar.”
Técnicamente, esto es todo lo que Microsoft puede hacer, ya que si intentan alguna otra modificación, se estropearía la funcionalidad del DRM. Así que tendremos que tener cuidado con lo que descargamos.
