Descubren un "malware sin archivos" que se oculta en Windows: ¿qué es y cómo protegerse?

Descubren un "malware sin archivos" que se oculta en Windows: ¿qué es y cómo protegerse?
Los ciberdelincuentes no pierden un segundo en encontrar nuevas formas de engañar a los usuarios de todo tipo de sistemas operativos
Por iProUP
24.05.2022 17.00hs Economía Digital

Expertos en seguridad informática descubrieron una nueva técnica para ocultar software malicioso (también conocido como malware) sin usar archivos ("fileless") dentro de los registros de eventos de Windows.

Los eventos de Windows son una herramienta que registra la actividad del sistema, incluidos los errores y advertencias del equipo, lo que la hace especialmente útil para conocer y afrontar cualquier problema que se pueda tener con el sistema operativo más utilizado en el mundo.

Los expertos de la firma Kaspersky fueron los que detectaron una campaña de malware dirigido que utiliza una técnica que calificaron como "única", en la que "el atacante guardó y luego ejecutó un 'shellcode' cifrado a partir de los registros de eventos de Windows", según declaró Denis Legezo, el investigador principal de la compañía.

El ataque comienza infectando el sistema a través del módulo "dropper" (un tipo de malware que contiene un archivo ejecutable) de un documento descargado por la víctima.

A continuación, los atacantes inyectan el malware en fragmentos de código shell (que permiten controlar procesos y archivos) encriptado dentro de los registros de eventos de Windows. Posteriormente, son desencriptados y ejecutados.

¿Cómo funciona el "malware sin archivos"?

Como si esto fuera poco, los ciberdelincuentes utilizan una variedad de "wrappers" (programas o códigos que envuelven otros componentes) antidetección para pasar inadvertidos.

Desde la firma de seguridad digital destacaron que incluso algunos módulos fueron firmados con un certificado digital para darles mayor veracidad.

Una vez dentro del sistema y en la última fase de su ataque, los atacantes emplean dos tipos de troyanos para hacerse con un mayor control. Estos se rigen por dos mecanismos de comunicación distintos: HTTP con cifrado RC4 y canalizaciones con nombre sin cifrar.

Los hackers también recurren a herramientas comerciales de "pentesting" (conjunto de ataques simulados para detectar las debilidades de un sistema), concretamente SilentBreak y CobaltStrike. Así, combinan técnicas conocidas con descifradores personalizados.

Los expertos reconocen que es la primera vez que observan el uso de los registros de eventos de Windows para ocultar códigos "shell" y realizar un ataque de estas características.

Los expertos declaran que es la primera vez que encuentran este tipo de malware
Los expertos declaran que es la primera vez que encuentran este tipo de malware

Cómo protegerse del "malware sin archivos"

Según un informe de europapress.es, para protegerse de este tipo de ataques y otras amenazas similares, los expertos recomiendan:

  • utilizar una solución fiable de seguridad para puntos finales, que pueda detectar anomalías en el comportamiento de los archivos y contraataques de perfil alto
  • instalar soluciones anti-APT y EDR, que permitan descubrir y detectar amenazas, así como investigar y remediar los incidentes.
  • proporcionar al equipo del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) acceso a las últimas amenazas
  • actualizar regularmente a sus miembros con formación profesional

Temas relacionados
Economía Digital en tu mail
Suscribite a nuestro newsletter y recibí diariamente las últimas noticias en economía digital, start ups, fintech, innovación corporativa y blockchain.
Lo más leído