Cómo una resolución de pantalla más baja o un monitor barato puede salvarlo de un nuevo virus si su antivirus no puede

Los desarrolladores del popular troyano TrickBot le han agregado una nueva y peligrosa característica. Acorde a expertos en borrado seguro de archivos, este malware ahora es capaz de verificar la resolución de la pantalla de la víctima para detectar si el malware se ejecuta en una máquina virtual. El análisis en máquinas virtuales es una técnica muy común para prevenir ciberataques.  

Los desarrolladores de malware emplean múltiples técnicas para detectar si el malware se está ejecutando en una máquina virtual. En caso de ser así, lo más probable es que el malware esté siendo analizado por un investigador, o bien de forma aislada en un entorno de sandbox personalizado. Estas técnicas incluyen la búsqueda de procesos característicos, servicios de Windows o nombres de máquinas, además de la verificación de las direcciones MAC de la tarjeta de red o las características del CPU.

Según reporta el investigador Maciej Kotowicz, de MalwareLab, TrickBot analiza la resolución de la pantalla en el sistema infectado, lo que ayuda a los hackers a determinar si el malware se está ejecutando en un entorno aislado.

Aunque TrickBot comenzó como un troyano bancario común, los desarrolladores han incluido múltiples características que lo convierten en una de las variantes de malware más peligrosas de la actualidad. Entre las características agregadas a TrickBot se encuentra el robo de credenciales almacenadas en el navegador, robo de bases de datos en Active Directory, búsqueda de cookies, claves OpenSSH, entre otras actividades maliciosas, mencionan los expertos en borrado seguro de archivos.

En su investigación, Kotowicz menciona que una nueva muestra detectada de TrickBot está verificando si la resolución de la pantalla de la computadora afectada es 800×600 o 1024×768, y si es así, TrickBot no se ejecuta.

FUENTE: BleepingComputer

El experto en borrado seguro de archivos señala que estas resoluciones en particular son muy comunes en la configuración de la mayoría de las implementaciones de máquina virtual.  

En la configuración de estas herramientas, rara vez los investigadores instalar software adicional para establecer una mayor resolución de pantalla, además de modificar otras funciones (como manejo mejorado del mouse, acceso a redes, entre otras): “VirtualBox, por ejemplo, tiene una resolución predeterminada de 1024×768”, menciona Kotowicz. En otras palabras, los usuarios que emplean monitores con las resoluciones mencionadas podrían ser menos propensos a infecciones de TrickBot, aunque cabe mencionar que estas son consideradas resoluciones de baja calidad, lo que dificulta el trabajo diario.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.