Así es como el malware se esconde en los instaladores

Share this…

El malware es cada vez más complejo, sin embargo, las distintas medidas de seguridad, tanto de las aplicaciones como los antivirus como de los sistemas operativos hacen que infectar un ordenador sea, cada vez, una tarea más complicada. Esto lleva a los piratas informáticos a desarrollar técnicas cada vez más complejas para llevar a cabo los ataques, infectar los ordenadores y no levantar sospechas sobre la amenaza, y la mayoría de estas técnicas se basan, principalmente, en esconderse cada vez más dentro de las aplicaciones o los instaladores, en teoría, fiables.

Recientemente, el Malware Protection Center de Microsoft ha detectado una nueva amenaza informática del tipo “NSIS” (Nullsoft Scriptable Install System). Esta nueva amenaza se basa, principalmente, en ocultar código malicioso muy profundo dentro de los instaladores de aplicaciones de manera que este no pueda ser identificado por los antivirus ni por otras herramientas de seguridad hasta que ya sea demasiado tarde.

Estos instaladores incluyen una serie de archivos y librerías no maliciosas para parecer aparentemente inofensivo, pero, entre ellas, se suele esconder ransomware como Cerber o Locky, entre otras variantes.

Entre otros, los archivos que suelen utilizarse para llevar a cabo esta amenaza son el motor del instalador, system.dll, una imagen BMP utilizada como fondo para el instalador y una serie de componentes más legítimos, como el fichero uninst.exe que funcionaría como desinstalador.

Nuevo malware oculto NSIS

Como podemos ver, una de las principales diferencias entre los paquetes NSIS utilizados antes y los nuevos es la ausencia de una librería DLL con un nombre aleatorio que, por lo general, era utilizada para descifrar el malware. Este cambio reduce notablemente el rastro del malware, complicando así su detección y siendo mucho más complicado de detectar.

Como estos nuevos instaladores Nullsoft ya no tienen la librería DLL maliciosa, ahora el código se carga cifrado en la memoria y se descifra y ejecuta directamente en ella. De esta manera, como ya está cargado el código, no levanta sospecha entre las medidas de seguridad, llevando a cabo la infección con éxito.

Actualmente hay varias campañas de distribución de malware utilizando esta técnica

Aunque esta técnica se empezó a utilizar a finales de 2016, no ha sido hasta febrero y, sobre todo, marzo de 2017 cuando el número de infecciones utilizando esta técnica ha crecido exponencialmente.

Infecciones instaladores maliciosos NSIS

Tal como aseguran los expertos de seguridad, actualmente se encuentran activas ya varias campañas que se aprovechan de esta técnica para infectar a sus víctimas. En la mayoría de ellas se busca distribuir ransomware, ya que sigue siendo el malware que mayores beneficios genera a los piratas informáticos, y todas ellas suelen tener el mismo patrón, un correo electrónico malicioso que adjunta una serie de archivos maliciosos, como:

  • Scripts JavaScript
  • Archivos comprimidos con archivos JS.
  • Archivos LNK con script PowerShell.
  • Documentos con Macros.

Igual que siempre, la mejor forma de protegerse de estas amenazas es evitando descargar y ejecutar archivos sospechosos que recibamos a través del correo electrónico, sin embargo, debido a que este tipo de malware evade a la mayoría de las soluciones de seguridad, Microsoft nos recomienda habilitar su nuevo Windows Defender de Windows 10 que ya cuenta con todo lo necesario para detectar y bloquear esta amenaza y, como medidas de seguridad adicionales, usar Device GuardOffice 365 Advanced Threat Protection.

Fuente:https://www.redeszone.net