Seguridad

Malware modular El nuevo ataque furtivo que roba tus datos

Malware modular El nuevo ataque furtivo que roba tus datos / Seguridad

El malware viene en todas las formas y tamaños. Además, la sofisticación del malware ha crecido considerablemente a lo largo de los años. Los atacantes se dan cuenta de que tratar de encajar todos los aspectos de su paquete malicioso en una sola carga útil no siempre es la forma más eficiente.

Con el tiempo, el malware se ha vuelto modular. Es decir, algunas variantes de malware pueden usar diferentes módulos para modificar la forma en que afectan a un sistema objetivo. Entonces, ¿qué es el malware modular y cómo funciona??

¿Qué es el malware modular??

El malware modular es una amenaza avanzada que ataca un sistema en diferentes etapas. En lugar de irrumpir por la puerta principal, el malware modular adopta un enfoque más sutil.

Lo hace instalando primero los componentes esenciales. Luego, en lugar de provocar una fanfarria y alertar a los usuarios de su presencia, el primer módulo explora el sistema y la seguridad de la red; quién está a cargo, qué protecciones se están ejecutando, dónde el malware puede encontrar vulnerabilidades, qué vulnerabilidades tienen las mejores posibilidades de éxito, etc..

Después de explorar con éxito el entorno local, el módulo de malware de la primera etapa puede marcar su servidor de comando y control (C2). El C2 puede enviar más instrucciones junto con módulos de malware adicionales para aprovechar el entorno específico en el que opera el malware..

El malware modular tiene varios beneficios en comparación con el malware que reúne toda su funcionalidad en una sola carga útil.

  • El autor del malware puede cambiar rápidamente la firma del malware para evadir el antivirus y otros programas de seguridad.
  • El malware modular permite una amplia funcionalidad para una variedad de entornos. En ese sentido, los autores pueden reaccionar a objetivos específicos o, alternativamente, asignar módulos específicos para su uso en entornos particulares..
  • Los módulos iniciales son pequeños y algo más fáciles de ofuscar..
  • La combinación de múltiples módulos de malware mantiene a los investigadores de seguridad adivinando lo que vendrá después.

El malware modular no es una nueva amenaza repentina. Los desarrolladores de malware han hecho un uso eficiente de los programas de malware modular durante mucho tiempo. La diferencia es que los investigadores de seguridad se encuentran con un malware más modular en una amplia gama de situaciones. Los investigadores también han descubierto la enorme red de bots Necurs (infame por distribuir las variantes de ransomware Dridex y Locky) distribuyendo cargas de malware modulares. (¿Qué es una red de bots, de todos modos? ¿Qué es una red de bots y su computadora es parte de una? ¿Qué es una red de bots y su computadora es parte de una? Las redes de bots son una fuente importante de malware, ransomware, spam y más. Pero, ¿qué es una botnet? ¿Una botnet? ¿Cómo llegan a existir? ¿Quién los controla? ¿Y cómo podemos detenerlos? Leer más)

Ejemplos de Malware Modular

Hay algunos ejemplos de malware modular muy interesantes. Aquí hay algunos para que usted considere.

VPNFilter

VPNFilter es una variante de malware reciente que ataca a los enrutadores y dispositivos de Internet de las cosas (IoT). El malware funciona en tres etapas..

El malware de primera etapa contacta con un servidor de comando y control para descargar el módulo de la etapa dos. El módulo de la segunda etapa recopila datos, ejecuta comandos y puede interferir con la administración del dispositivo (incluida la capacidad de “ladrillo” un enrutador, IoT o dispositivo NAS). La segunda etapa también puede descargar módulos de la tercera etapa, que funcionan como complementos para la segunda etapa. Los módulos de la etapa tres incluyen un detector de paquetes para el tráfico SCADA, un módulo de inyección de paquetes y un módulo que permite que el malware de la etapa 2 se comunique mediante la red Tor.

Puede obtener más información sobre VPNFilter, de dónde viene y cómo encontrarlo aquí..

T9000

Los investigadores de seguridad de Palo Alto Networks descubrieron el malware T9000 (no tiene relación con Terminator o Skynet ... ¡¿o no ?!).

T9000 es una herramienta de inteligencia y recopilación de datos. Una vez instalado, T9000 permite a un atacante. “capture datos cifrados, tome capturas de pantalla de aplicaciones específicas y apunte específicamente a usuarios de Skype,” así como los archivos de productos de Microsoft Office. T9000 viene con diferentes módulos diseñados para evadir hasta 24 productos de seguridad diferentes, lo que altera su proceso de instalación para permanecer bajo el radar.

DanaBot

DanaBot es un troyano bancario de múltiples etapas con diferentes complementos que el autor utiliza para ampliar su funcionalidad. (Cómo lidiar de manera rápida y efectiva con los troyanos de acceso remoto. Cómo tratar de manera simple y efectiva los troyanos de acceso remoto Cómo lidiar de manera simple y efectiva con los troyanos de acceso remoto ¿Huele una RAT? Si cree que ha sido infectado con un troyano de acceso remoto, puede deshacerse de él fácilmente siguiendo estos sencillos pasos. Leer más) Por ejemplo, en mayo de 2018, DanaBot fue visto en una serie de ataques contra bancos australianos. En ese momento, los investigadores descubrieron un plugin de inyección e inhalación de paquetes, un plugin de visualización remota VNC, un plugin de recolección de datos y un plugin Tor que permite una comunicación segura.

“DanaBot es un troyano bancario, lo que significa que es necesariamente geo-dirigido a un grado,” lee la entrada del blog Proofpoint DanaBot. “Sin embargo, la adopción por parte de actores de gran volumen, como vimos en la campaña de EE. UU., Sugiere un desarrollo activo, una expansión geográfica y un interés continuo de los actores de amenazas en el malware. El malware en sí contiene una serie de funciones de análisis, así como módulos de control remoto y ladrones actualizados, que aumentan aún más su atractivo y utilidad para los actores de amenazas..”

Marap, AdvisorsBot, y CobInt

Estoy combinando tres variantes de malware modular en una sola sección, ya que los asombrosos investigadores de seguridad en Proofpoint descubrieron las tres. Las variantes de malware modular tienen similitudes pero tienen diferentes usos. Además, CobInt forma parte de una campaña para el Grupo Cobalt, una organización criminal vinculada a una larga lista de delitos cibernéticos bancarios y financieros..

Marap y AdvisorsBot fueron vistos en sistemas de alcance para la defensa y mapeo de redes, y si el malware debería descargar la carga útil completa. Si el sistema objetivo es de suficiente interés (por ejemplo, tiene valor), el malware solicita la segunda etapa del ataque.

Al igual que otras variantes de malware modular, Marap, AdvisorsBot y CobInt siguen un flujo de tres pasos. La primera etapa suele ser un correo electrónico con un archivo adjunto infectado que lleva el exploit inicial. Si se ejecuta el exploit, el malware solicita inmediatamente la segunda etapa. La segunda etapa lleva el módulo de reconocimiento que evalúa las medidas de seguridad y el panorama de la red del sistema objetivo. Si el malware considera que todo es adecuado, el tercer y último módulo se descarga, incluida la carga útil principal.

Análisis de puntos de prueba de:

  • Marap
  • AdvisorBot (y PoshAdvisor)
  • Cobin

Violencia

Mayhem es una variante de malware modular un poco más antigua, que salió a la luz por primera vez en 2014. Sin embargo, Mayhem sigue siendo un gran ejemplo de malware modular. El malware, descubierto por investigadores de seguridad en Yandex, apunta a servidores web de Linux y Unix. Se instala a través de un script PHP malicioso..

Una vez instalado, el script puede invocar varios complementos que definen el uso final del malware..

Los complementos incluyen un cracker de contraseñas de fuerza bruta que se dirige a las cuentas de FTP, WordPress y Joomla, un rastreador web para buscar otros servidores vulnerables y una herramienta que explota la vulnerabilidad OpenSLL de Heartbleed.

DiamondFox

Nuestra variante final de malware modular es también una de las más completas. También es uno de los más preocupantes, por un par de razones..

Razón uno: DiamondFox es una botnet modular que se vende en varios foros clandestinos. Los posibles cibercriminales pueden comprar el paquete de botnet modular DiamondFox para obtener acceso a una amplia gama de capacidades avanzadas de ataque. La herramienta se actualiza periódicamente y, como todos los buenos servicios en línea, tiene un servicio personalizado de atención al cliente. (Incluso tiene un registro de cambios!)

Razón dos: la botnet modular DiamondFox viene con una variedad de complementos. Estos se activan y desactivan a través de un panel de control que no estaría fuera de lugar como una aplicación de casa inteligente. Los complementos incluyen herramientas de espionaje personalizadas, herramientas de robo de credenciales, herramientas DDoS, registradores de teclas, correo no deseado e incluso un raspador de RAM.

Advertencia: el siguiente video tiene música que puede o no disfrutar.

Cómo detener un ataque de malware modular

En este momento, ninguna herramienta específica protege contra una variante de malware modular específica. Además, algunas variantes de malware modular tienen un alcance geográfico limitado. Por ejemplo, Marap, AdvisorsBot y CobInt se encuentran principalmente en Rusia y naciones de la CEI..

Dicho esto, los investigadores de Proofpoint señalaron que, a pesar de las limitaciones geográficas actuales, si otros delincuentes ven una organización criminal establecida con un malware modular, otros seguirán su ejemplo..

Es importante conocer cómo llega el malware modular a su sistema. La mayoría utiliza archivos adjuntos de correo electrónico infectados, que generalmente contienen un documento de Microsoft Office con un script VBA malicioso. Los atacantes utilizan este método porque es fácil enviar correos electrónicos infectados a millones de posibles objetivos. Además, la vulnerabilidad inicial es pequeña y se disfraza fácilmente como un archivo de Office.

Como siempre, asegúrese de mantener su sistema actualizado y considere invertir en Malwarebytes Premium: vale la pena 5 razones para actualizarse a Malwarebytes Premium: sí, vale la pena 5 razones para actualizarse a Malwarebytes Premium: sí, vale la pena La versión gratuita de Malwarebytes es impresionante, la versión premium tiene un montón de características útiles y valiosas. Lee mas !

Explorar más acerca de: jerga, malware, malware modular, caballo de Troya.