in

Virus Bulletin: el malware antiguo nunca muere, solo se vuelve más específico


Tiene mucho sentido que los operadores de malware tengan una carga útil precisa en malware más general

Virus Bulletin trajo un nuevo lote de malware actualizado este año con mucha más potencia y cantidades diabólicas de orientación personalizada. Desde objetivos seleccionados de activistas políticos hasta objetivos regionalizados, el objetivo del malware sigue mejorando.

Tiene sentido asignar una carga útil precisa a un malware más general. ¿Por qué levantar una pila completamente nueva bajo su hazaña cuando simplemente puede reemplazar la punta de la lanza de manera óptima? Lyceum, por ejemplo, parece ser una repetición después de que Talos y otros se vuelven sabios en cirugías anteriores. Pero gran parte de la salsa secreta provino de actores de amenazas que simplemente hicieron algunas cosas interesantes, como convertir los octetos de IP en cuatro comandos codificados en ASCII para el servidor C&C, lo cual es genial.

Para los operadores de malware, el uso de herramientas estándar es algo de negación, frustrando los esfuerzos de análisis de malware cuando gran parte de la evidencia es una combinación de herramientas listas para usar. ¿Cómo probarías quién lo hizo con mucha confianza? También hubo mucha «superposición técnica» este año, con movimientos del malware de pirateo de POS anterior al ransomware «Big Game Hunting» básicamente siguiendo el dinero con la menor cantidad de esfuerzo.

Otra tendencia: malware altamente dirigido con carácter nacional. Los activistas políticos, en particular, son un objetivo persistente (gracias a Amnistía Internacional por los conocimientos adquiridos con el trabajo de Netscout / Bitdefender), y los piratas informáticos atraen objetivos a través de aplicaciones maliciosas para teléfonos inteligentes a las familias del equipo de Stealjob / Knspy Donot. Después de la instalación, la aplicación maliciosa solicita mayores derechos de acceso a Android y luego registra las entradas de la pantalla y el teclado. Los atacantes etiquetan a los equipos con correos electrónicos e incluso intentan mejorar la localización del idioma para que parezcan más legítimos (su francés no era muy bueno en intentos anteriores).

Otra cosa, PowerShell es el nuevo favorito por hacer cosas malas en los objetivos de la computadora. Con una funcionalidad más rica, ahora ofrece una amplia variedad de capacidades que pueden causar estragos y proporciona un panel de control útil para los actores de amenazas, como la exfiltración de archivos, futuras descargas de carga útil e interacción con servidores de C&C.

Y si PowerShell es la nueva tendencia en las computadoras de los usuarios finales, es aún mejor en un servidor Windows. Casi ha terminado para un servidor afectado, y los atacantes definitivamente lo notaron este año y lanzaron ataques cada vez más poderosos contra la plataforma.

Para no sobresalir, todavía tenemos el objetivo permanente de bajo nivel: UEFI. Los investigadores de ESET encontraron recientemente un nuevo proveedor llamado ESPecter que usa su componente ESP para modificar el proceso de arranque y arrancar los escondites de malware súper secretos que se ajustan al software de seguridad.

¿Cómo se protege contra este tipo de malware? Sorprendentemente, los errores simples como los errores ortográficos todavía están incorporados en los exploits maliciosos, como uno que escribió mal «puerta trasera» y luego copió el error ortográfico en varios archivos, creando una pista sólida.

Irónicamente, la mayoría de los estudios destacados muestran cuántas piezas del rompecabezas fueron finalmente ensambladas por un «descubrimiento casual»: es decir, los investigadores tuvieron suerte en alguna parte. También puede significar que se encontrará algo obvio en la web pública que ayudará a identificar a los autores de malware en función de los nombres de usuario que aún quedan en alguna parte de las redes sociales y que identifican claramente al operador. Es curioso la frecuencia con la que reina la suerte a la sombra de la paleta de los exploradores.

Hablando de los actores de amenazas que se contratarán: la competencia de nombres que debe haber estado detrás del grupo de hackers a sueldo “Operation Hangover”, independientemente de su éxito, merece una mención especial.

Esperamos que llegue el Virus Bulletin en Praga el año que viene.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Entornos de almacenamiento de datos corporativos llenos de vulnerabilidades

Acer hackeado (segunda vez este año) • Graham Cluley