Instaladores MSI: un formato de archivo utilizado para ocultar o descargar Malware

Instaladores MSI son utilizados por los ciberciminales para ocultar malware

Según las investigaciones de malware muchas campañas maliciosas comienzan con la utilización de un instalador .MSI (Microsoft Installer) para distribuir código malicioso.  Este tipo de archivo sirve no solo para instalar nuevo software sino también para eliminarlo o modificarlo. Por lo tanto, es muy probable que todos en algún momento de nuestras vidas hayamos utilizado uno de estos instaladores, dado que los mismos son sumamente comunes y, justamente por este motivo, los atacantes maliciosos los utilizan para distribuir malware.

Para lograr esto, los atacantes hacen uso de técnicas de ingeniería social con el objetivo de engañar al usuario y crea que un instalador malicioso es un instalador legítimo. Un punto interesante de esta mecánica es que en muchas ocasiones el malware no está contenido directamente dentro del instalador, sino que el instalador contiene únicamente un script que se ejecutará al abrirlo y que será el encargado de descargar e instalar el malware principal. Es decir, el instalador actúa únicamente como un medio para ocultar y lanzar un script malicioso con funcionalidad de downloader. Es por esta razón que, en muchas ocasiones, las soluciones de seguridad hacen referencia a detecciones relacionadas a otras tecnologías, pese a estar analizando un instalador .msi.

 ¿Que es un archivo .MSI?

Un archivo .MSI empaqueta su contenido similar a un archivo comprimido .zip, al ejecutar un archivo .msi el mismo es abierto por un software llamado Windows Installer que, además de extraer el contenido, se encarga de realizar todas las acciones de instalación declaradas en él. Estas acciones, conocidas como Standard Actions, van desde: colocar cada componente en una ruta específica, escribir o borrar archivos, escribir o modificar entradas del registro, entre otras más. Sin embargo, existen situaciones en las que los desarrolladores de los instaladores podrían necesitar realizar otras acciones que van más allá de las Standard Actions. Para estos casos, existen las llamadas Custom Actions, las cuales pueden ser escritas con mayor libertad y permiten utilizar ejecutables, .dlls y scripts. Si bien estas funcionalidades son utilizadas por desarrolladores de software ligítimos, también pueden ser utilizadas con fines maliciosas.

Conclusión:

Los archivos .msi son potencialmente tan dañinos como los archivos .exe, las .dll´s o los scripts maliciosos, ya que en última instancia se podría terminar ejecutando uno de estos. Por lo tanto, se recomienda no descargar programas de fuentes no confiables y, en caso de necesitar hacerlo, analizar el archivo con la solución de seguridad instalada antes de ejecutarlo. Adicionalmente, se recomienda complementar dichas medidas de protección con un análisis manual como los mostrados previamente. En ese caso, si se encuentra un script, un ejecutable o un custom action sospechoso lo ideal será no ejecutarlo hasta confirmar la confiabilidad del mismo.

Fuente: welivesecurity.com

Comments are closed.