Hackers disfrazan su malware con un antivirus

Una de las normas básicas para tener un PC libre de malware (dejando de lado el sentido común) es tener instalado un buen antivirus. Pero los criminales también saben esto, y siempre están buscando la forma de engañar a sus víctimas. De esta necesidad surge AVGater, el nuevo exploit que utiliza tu antivirus en tu contra, para infectar con malware tu PC. AVGater utiliza la función de los antivirus de “restaurar archivo en cuarentena” para infectar tu ordenador.

La idea detrás de AVGater es muy sencilla: este exploit permite a un atacante mover un archivo (en este caso, uno malicioso) en el ordenador de la víctima, desde su carpeta de cuarentena. Esta carpeta es la que utiliza nuestro antivirus cuando encuentra un archivo malicioso, y ahí dentro no te puede hacer daño (normalmente, los antivirus no borran los archivos directamente, ya que podría tratarse de un falso positivo, en cuyo caso el dueño del PC querría sacar este archivo de la cuarentena de forma manual). Pero una vez que AVGater saca el malware fuera de la cuarentena, tu ordenador queda infectado con el malware.

AVGater no funciona de forma remota

Si queréis saber cómo funciona en profundidad, Florian Bogner (el descubridor de este exploit) ha publicado un vídeo donde explica en detalle el funcionamiento de AVGater. Un dato importante es que, en condiciones normales, un usuario sin privilegios de administrador no podría ser capaz de mover un archivo a las carpetas que contienen el sistema operativo, pero gracias a la función NTFS de Microsoft Windows, AVGater logra saltarse también esta restricción.

De todas formas, la buena noticia es que AVGater no es un exploit que funcione de forma remota, por lo que el atacante tendría que tener acceso físico a nuestro PC para poder llevar a cabo el exploit. Y, sinceramente, si un hacker malicioso tiene acceso físico a tu ordenador, puede desactivar temporalmente tu antivirus y simplemente instalar el malware de forma manual, por lo que no tendría mucho sentido que utilizase AVGater, ya que solo serviría para hacer más complicado el proceso.