Los kits de exploits están migrando lentamente hacia ataques sin archivos


Emotet es la gran amenaza maliciosa de este año para sus usuarios
El troyano bancario convirtió las cuentas de botnet en casi dos tercios de todas las cargas útiles de malware entregadas por correo electrónico, y las URL maliciosas favorecieron mucho más que los archivos adjuntos armados.

El panorama del malware está en constante cambio, con nuevas tendencias y técnicas que aparecen y / o pasan de moda mensualmente.

Mantener un ojo en lo que implica analizar decenas de miles de muestras de malware, y esto es exactamente lo que el equipo de Malwarebytes ha estado haciendo en términos de kits de explotación, recopilación e indexación de campañas y ataques durante los últimos años para obtener una idea de cómo funciona y puede cambiar el panorama del kit de exploits en el futuro.

¿Qué son los kits de exploits?

Los kits de exploits, o EK, son aplicaciones basadas en web alojadas por ciberdelincuentes. Los operadores EK generalmente compran tráfico web de campañas de publicidad maliciosa u operadores de botnets.

El tráfico de anuncios maliciosos o sitios web pirateados se envía a la llamada "puerta" de EK, donde el operador de EK selecciona solo usuarios con navegadores específicos o versiones de Adobe Flash y redirige estos posibles objetivos a una "página de destino".

Aquí es donde el EK ejecuta un exploit, de ahí el nombre del kit de exploit, y utiliza un navegador o vulnerabilidad Flash para plantar y ejecutar malware en la computadora de un usuario.

Los EK están adoptando ataques sin archivos

Pero en un informe publicado la semana pasada, los investigadores de Malwarebytes dicen que los operadores de EK están cambiando sus tácticas.

En lugar de confiar en dejar caer malware en el disco y luego ejecutar el malware, al menos tres de los nueve EK activos actualmente están usando ataques sin archivos.

Un ataque sin archivos [1, 2] se basa en cargar el código malicioso dentro de la RAM de la computadora, sin dejar rastros en el disco.

El malware sin archivos existe desde hace más de media década, pero esta es la primera vez que los EK adoptan ampliamente la técnica.

"Esta es una tendencia interesante que dificulta el intercambio de muestras y posiblemente aumenta las tasas de infección al evadir algunos productos de seguridad", dijo Jérôme Segura, analista de malware de Malwarebytes.

Los kits de exploits que aprovechan esta técnica incluyen Magnitude, Underminer y Purple Fox.

Estos son kits de exploits de poco tiempo en comparación con otros EK más utilizados como Spelevo, Fallout y RIG. Sin embargo, esto no importa. El hecho de que un tercio de los mejores EK de la actualidad utilizan técnicas sin archivos muestra una dirección clara hacia dónde irá el mercado de EK en los próximos meses y años.

¡Adiós Flash!

Pero esta no fue la única tendencia detectada por Malwarebytes. La compañía dice que cada vez más kits de exploits están abandonando el uso de exploits de Flash Player.

La razón principal es que la cuota de mercado de Adobe Flash ha disminuido en los últimos años, llegando a menos del 8% en Google Chrome, en febrero de 2018.

En cambio, los kits de exploits han estado acumulando errores en los errores de Internet Explorer, a pesar de que la cuota de mercado del navegador también se ha desplomado.

La idea, según Malwarebytes, es que la mayoría de las instancias de IE en la actualidad se encuentran en redes empresariales, por lo que al dirigirse a los usuarios de IE, los operadores de EK se dirigen efectivamente a las redes empresariales, que son objetivos muy buscados en la escena del malware.

Entonces, al final, a pesar de parecer que los operadores de EK están perdiendo el tiempo, terminan infectando los objetivos que querían desde el principio.

A continuación se muestra un resumen del panorama actual del kit de exploits, basado en Informe más reciente de Malwarebytes.

Nombre del kit de explotación Patrones Carga útil
Spelevo
  • Regularmente activo gracias a campañas de publicidad maliciosa
  • No hay cambios importantes recientes
  • Descubierto en marzo de 2019
PsiXBot, Gootkit, Laberinto
Caer
  • Implementó un intercambio de claves Diffie-Hellman para evitar repeticiones fuera de línea por parte de analistas de seguridad.
Sodinokibi, AZORult, Kpot, Mapache, Danabot
Magnitud
  • Activo solo en Corea del Sur
  • No ha cambiado en meses
  • Utiliza una técnica sin archivos para infectar a las víctimas con el ransomware Magniber
  • En algún momento también redirigirá a los usuarios a dominios falsos de intercambio de criptomonedas
Magniber
APAREJO
  • Hazañas de Flash Player descartadas
  • Utiliza solo exploits de Internet Explorer
Cargador de humo, Sodinokibi, Paraíso, Antefrigus
GrandSoft
  • No muy activo este otoño
Ramnit
Socavador
  • Utiliza técnicas sin archivos para infectar a las víctimas.
Abeja oculta
KaiXin Dupzom
Zorro morado
  • Utiliza técnicas sin archivos para infectar a las víctimas.
Kpot
Capesand
  • Desarrollado a partir de un kit de exploits más antiguo llamado Demon Hunter.
  • Parece ser el trabajo de un autor de malware.
NjRAT



Enlace a la noticia original