Además de usar otras técnicas, se aprovecharían de algunas versiones Windows para inyectar malware y evadir la detección.

Para proteger a sus clientes y comprender mejor las amenazas en el mundo de la informática, un equipo especial de Microsoft ha estado trabajando para encontrar grupos de hacking expertos, con el conocimiento para evadir la protección antimalware y que se dedican a afectar a determinados usuarios objetivo.

Según informa la compañía en su blog oficial (vía ArsTechnica), la caza ha dado sus primeros frutos al encontrar un grupo de hacking conocido como PLATINUM, tan organizado que Microsoft cree que se trata de una agencia gubernamental que en más de la mitad de ocasiones ha atacado a dependencias de gobierno, además de agencias de defensa e inteligencia, y una décima parte a proveedores de servicios de internet (ISP).

PLATINUM usa diversas técnicas para sabotear a sus víctimas, aunque el phishing es el más utilizado para penetrar en los sistemas. Una vez que lo hace es fácil infectar una red de computadoras. Para evitar ser detectado, el malware que desarrolla tiene la capacidad para autodestruirse, mientras otros evaden la detección del antivirus y algunos sólo funcionan en horas de trabajo para confundirse entre los procesos.

Algo más interesante aún es que el grupo de hacking se aprovecha de una característica de los sistemas operativos anteriores a Windows 7 con la capacidad para cargar archivos DLL para modificar programas en ejecución. Esto permite vulnerar el sistema de parches de seguridad utilizando el hotpatching, técnica de implementación de parches en servidores que evita hacerlos reiniciar para actualizar el código.

Por un lado, el hotpatching serviría para evitar retrasos con la aplicación de parches, pero podría alterarse para inyectar código malicioso en los servidores durante el tiempo de ejecución de los programas. Ya que no se requiere una unidad para infectar con malware o inyectar archivos DLL, el proceso se vuelve indetectable para las soluciones antimalware.

Microsoft sabe muy poco de cómo trabaja PLATINUM exactamente, aunque descubrió que sus principales blancos de encuentran en el sureste de Asia, ataques que llevó a cabo desde el 2009 y afectaron principalmente a países como Malasia, con más de la mitad, e Indonesia. Además, su intención no sería generar ganancias a corto plazo, sino beneficiarse de la información robada para el espionaje.

https://www.fayerwayer.com/2016/04/grupo-de-hacking-utilizo-el-sistema-de-parches-de-windows-contra-el/