Las amenazas de malware no tienen que tener un alto perfil para ser extremadamente peligrosas. A veces, incluso las cepas más comunes pueden plantear grandes problemas.
Un ejemplo de ello es «Dexphot», una herramienta de criptominería que Microsoft ha estado rastreando durante el año pasado y que, según la compañía, ejemplifica la complejidad y la naturaleza de rápida evolución, incluso de las amenazas más cotidianas que enfrentan las organizaciones.
Dexphot apareció por primera vez en octubre de 2018 y desde entonces ha infectado a decenas de miles de sistemas, pero ha recibido poca atención por parte de algunas amenazas de malware. Los investigadores de Microsoft inicialmente observaron el malware que intentaba desplegar archivos que cambiaban literalmente cada 20 a 30 minutos en miles de dispositivos.
El análisis posterior de la compañía del malware polimórfico mostró que emplea múltiples capas de ofuscación, cifrado y nombres de archivos aleatorios para evadir la detección.
Como muchas otras herramientas modernas de malware, Dexphot fue diseñado para ejecutarse completamente en la memoria. También secuestró procesos legítimos para que los defensores no pudieran detectar fácilmente su actividad maliciosa. Cuando Dexphot finalmente se instaló en un sistema, utilizó servicios de monitoreo y una lista de tareas programadas para reinfectar los sistemas cuando los defensores intentaron eliminar el malware.
Los autores de Dexphot han seguido actualizando y modificando el malware en el año desde que se detectó por primera vez, según Microsoft. La mayoría de los cambios han sido diseñados para ayudar al malware a evadir la detección.
Lo que hace que Dexphot sea especialmente problemático para los defensores es el uso que hace el malware de procesos y servicios legítimos para llevar a cabo su actividad. De hecho, a excepción del instalador que se utiliza para colocar el malware en un sistema, todos los demás procesos que utiliza Dexphot son procesos legítimos del sistema, según un Publicación de website de Microsoft.
Entre ellos se encuentra un proceso para ejecutar programas en archivos DLL (rundll32 (.) Exe), otro para extraer archivos de archivos ZIP (descomprimir (.) Exe), uno para programar tareas (schtasks (.) Exe) y PowerShell para tareas automatización.
Dexphot también emplea «proceso de vaciado», una táctica en la que el malware está oculto dentro de un proceso legítimo como svchost (.) Exe, tracert (.) Exe y setup (.) Exe. El malware oculto de esta manera puede ser difícil de encontrar, razón por la cual los actores de amenazas han comenzado a usarlo cada vez más, dice Microsoft. «Este método tiene el beneficio adicional de no tener archivos», según la publicación del web site. «No solo es más difícil detectar el código malicioso mientras se está ejecutando, es más difícil encontrar análisis forenses útiles después de que el proceso se haya detenido».
El malware que emplea esas tácticas de vivir de la tierra se ha convertido en un problema grande y creciente para las organizaciones empresariales. Un reciente informe Rapid7 identificó varios procesos legítimos que los atacantes utilizan cada vez más para ocultar actividades maliciosas. Rapid7 descubrió que PowerShell es fácilmente el ejecutable más abusado. Otros procesos populares incluyen cmd (.) Exe ADExplorer (.) Exe procdump64 (.) exe, rudll32 (.) exe y schtasks (.) exe.
«El enfoque continuo en el uso de las funciones integradas de Home windows permite a los atacantes persistir casi desapercibidos después de su omisión inicial de los controles de seguridad», señala Swift7 en su informe. Dado que pocas herramientas de seguridad están diseñadas para buscar amenazas en herramientas administrativas y procesos legítimos, explica el proveedor, las organizaciones deben monitorear los patrones de uso conocidos de las utilidades de Windows utilizadas por los atacantes.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más concepts
