exemples concrets d'atacs de side-loading que han estat documentats o analitzats en contextos reals:
1. Ataque a CCleaner (2017):
- Context: CCleaner, una eina popular de neteja de sistema, va ser compromesa per malware que utilitzava tècniques de side-loading.
- Detalls: Els atacants van inserir una versió maliciosa de CCleaner que venia amb una DLL maliciosa. Aquesta DLL s'aprofitava del fet que CCleaner carrega altres DLLs des del seu directori d'instal·lació. La DLL maliciosa, Win32u.dll, va ser utilitzada per executar codi maliciós, incloent-hi l'establiment de connexions amb servidors controlats per atacants.
2. Side-Loading amb Notepad++:
- Context: Notepad++, un editor de text de codi obert, ha estat utilitzat en proves de concepte de side-loading.
- Detalls: Notepad++ carrega diverses DLLs quan s'inicia, una de les quals és SciLexer.dll. Un atacant podria substituir aquesta DLL amb una versió maliciosa en el directori de Notepad++, fent que Notepad++ executi codi maliciós quan s'obri.
3. Ataque a TeamViewer
- Context: TeamViewer, una eina popular per a l'accés remot, ha estat objectiu de side-loading.
- Detalls: Es va demostrar que TeamViewer podia ser utilitzat per carregar una DLL maliciosa. L'atac consistia en col·locar una DLL amb el mateix nom que una DLL legítima necessària per TeamViewer en el directori de l'aplicació, resultant en l'execució de codi maliciós quan TeamViewer es llançava.
4. Malware Emotet Utilitzant Microsoft Office:
- Context: El malware Emotet ha estat conegut per utilitzar tècniques de side-loading amb aplicacions de Microsoft Office.
- Detalls: Emotet ha utilitzat documents de Word o Excel maliciosos que, quan s'obren, desencadenen la càrrega de DLLs específiques. Aquestes DLLs poden ser substituïdes per versions malicioses, especialment si el document està configurat per buscar-les en una ubicació específica on es troba el malware.
5. Ataque a Adobe Reader:
- Context: Adobe Reader ha estat un objectiu freqüent per al side-loading.
- Detalls: Adobe Reader sovint carrega diverses DLLs per funcionar. Els atacants poden col·locar una DLL maliciosa amb el nom d'una DLL que Adobe Reader espera carregar en un directori accessible, com el directori de documents o el directori de l'aplicació, per executar codi maliciós quan un PDF maliciós s'obre.
6. Side-Loading amb Windows Defender:
- Context: Fins i tot Windows Defender ha estat objectiu en proves de concepte.
- Detalls: S'ha demostrat que és possible utilitzar Windows Defender per fer side-loading. En aquest cas, l'executable de Windows Defender podria ser forçat a carregar una DLL maliciosa si es troba en una ubicació on es busca.
Aquests exemples il·lustren com el side-loading pot ser utilitzat per comprométres aplicacions de confiança per executar codi maliciós. La clau per prevenir aquests atacs inclou actualitzar el software, usar rutes absolutes per carregar DLLs, implementar comprovacions de signatures digitals, i mantenir vigilància activa sobre els comportaments anòmals del sistema.