Expertos en seguridad informática descubrieron una nueva técnica para ocultar software malicioso (también conocido como malware) sin usar archivos ("fileless") dentro de los registros de eventos de Windows.
Los eventos de Windows son una herramienta que registra la actividad del sistema, incluidos los errores y advertencias del equipo, lo que la hace especialmente útil para conocer y afrontar cualquier problema que se pueda tener con el sistema operativo más utilizado en el mundo.
Los expertos de la firma Kaspersky fueron los que detectaron una campaña de malware dirigido que utiliza una técnica que calificaron como "única", en la que "el atacante guardó y luego ejecutó un 'shellcode' cifrado a partir de los registros de eventos de Windows", según declaró Denis Legezo, el investigador principal de la compañía.
El ataque comienza infectando el sistema a través del módulo "dropper" (un tipo de malware que contiene un archivo ejecutable) de un documento descargado por la víctima.
A continuación, los atacantes inyectan el malware en fragmentos de código shell (que permiten controlar procesos y archivos) encriptado dentro de los registros de eventos de Windows. Posteriormente, son desencriptados y ejecutados.
Como si esto fuera poco, los ciberdelincuentes utilizan una variedad de "wrappers" (programas o códigos que envuelven otros componentes) antidetección para pasar inadvertidos.
Desde la firma de seguridad digital destacaron que incluso algunos módulos fueron firmados con un certificado digital para darles mayor veracidad.
Una vez dentro del sistema y en la última fase de su ataque, los atacantes emplean dos tipos de troyanos para hacerse con un mayor control. Estos se rigen por dos mecanismos de comunicación distintos: HTTP con cifrado RC4 y canalizaciones con nombre sin cifrar.
Los hackers también recurren a herramientas comerciales de "pentesting" (conjunto de ataques simulados para detectar las debilidades de un sistema), concretamente SilentBreak y CobaltStrike. Así, combinan técnicas conocidas con descifradores personalizados.
Los expertos reconocen que es la primera vez que observan el uso de los registros de eventos de Windows para ocultar códigos "shell" y realizar un ataque de estas características.
Según un informe de europapress.es, para protegerse de este tipo de ataques y otras amenazas similares, los expertos recomiendan: