El malware reúne una variedad de técnicas para obtener un punto de apoyo y permanecer sin descubrir.

Los ciberdelincuentes que buscan maximizar sus inversiones utilizan cada vez más sofisticadas técnicas de software y pasos cada vez más agresivos contra sus colegas autores de malware. Esas son algunas de las conclusiones de los investigadores de Deep Instinct sobre una nueva cepa de malware encontrada en los últimos dos meses.

El nuevo malware, denominado Mylobot, reúne una variedad de técnicas para obtener un punto de apoyo y permanecer sin descubrir. Entre las estrategias empleadas están

  • Técnicas anti VM
  • Técnicas anti-sandbox
  • Técnicas anti-depuración
  • Envolver partes internas con un archivo de recursos encriptados
  • Inyección de código
  • Vaciado del proceso (una técnica donde un atacante crea un nuevo proceso en un estado suspendido y reemplaza su imagen con la que se va a ocultar)
  • Reflective EXE (ejecutando archivos EXE directamente desde la memoria, sin tenerlos en el disco)
  • Un retraso de 14 días antes de acceder a sus servidores de C & C.

“A diario nos encontramos con docenas de muestras altamente sofisticadas, pero esta es una colección única de técnicas muy avanzadas”, dice Arik Solomon, vicepresidente de I + D de Deep Instinct. “Cada una de las técnicas es conocida y utilizada por algunas muestras maliciosas, pero la combinación es única”.

Solomon señaló que Mylobot, llamado así por el perro de un investigador, es un programa de descarga: puede tener la intención de descargar e instalar cualquier tipo de carga útil, desde spambot o motor DDoS hasta keylogger o troyano bancario. “Creo que lo que vemos aquí es la productización o incluso la industrialización de técnicas de malware”, dice Tom Nipravsky, investigador de seguridad de Deep Instinct.

Ese aspecto de la industrialización encaja con lo que Solomon ve como la fuerza impulsora detrás de este nuevo malware. “Siempre se trata de dinero”, dice. Y eso es especialmente cierto dado uno de los comportamientos de Mylobot: busca y cierra el software de botnet competidor.

“Vemos la capacidad para asegurarnos de que no hay competencia”, dice Solomon, señalando que en el mundo altamente no regulado del malware, tener más sistemas infectados a su disposición de los que la competencia puede ofrecer podría ser una cuestión de millones de dólares.

Mylobot aprovecha varias técnicas para asegurarse de que no haya otra botnet activa en una máquina que infecta. “Por lo general, vemos este comportamiento cuando el malware intenta cerrar el software defensivo”, señala Solomon. “En este caso, está luchando contra su competencia”.

Aunque los investigadores han estado mirando a Mylobot durante varias semanas, aún no están listos para decir quién es el autor. Sin embargo, hay algunas pistas, incluido el hecho de que Mylobot escanea el diseño del teclado de una máquina infectada y no se ejecuta si encuentra un conjunto de caracteres asiáticos y un diseño en uso. Nipravsky dice que esto podría tener que ver con los algoritmos de encriptación, pero podría hablar del nexo geográfico del malware.

Los investigadores dicen que es importante señalar que Mylobot se encontró en la naturaleza, en un fabricante de equipos de telecomunicaciones y comunicación de datos de nivel 1, no en una demostración de prueba de concepto.

“Es un representante relativamente bueno de lo que vemos en la Dark Web donde las personas están vendiendo plataformas para que otros las usen”, dice Solomon. Los clientes de la botnet pueden alquilar tiempo para descargar y ejecutar sus propias cargas útiles, haciendo de este un uso muy eficiente de la tecnología de malware.

Algo de lo que los investigadores confían es en la sofisticación de los autores del malware. “Esto se presenta como un producto del que todos podríamos sentir envidia”, dice Nipravsky. “La integración, cómo funciona, cómo fue desarrollada por diferentes equipos alrededor del mundo, las diferentes capas se combinan para crear un solo producto malicioso”.

 

Fuente original: www.darkreading.com

 

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *