Los desarrolladores de malware actualizan sus herramientas de ataque



Cisco analiza la última versión del malware LokiBot para robar credenciales y descubre que sus desarrolladores han agregado más funciones de desvío y anti-análisis.

Los desarrolladores de herramientas de ataque continúan avanzando en obstaculizar a los defensores desde la detección y el análisis de su malware, creando cadenas de infección más complejas hasta defensas difíciles, según un análisis realizado por el equipo de investigación de Cisco Talos esta semana.

Los investigadores analizaron las últimas técnicas de ataque asociadas con una campaña de robo de información, conocida como LokiBit, y descubrieron que sus desarrolladores agregaron una tercera etapa a su proceso de comprometer sistemas, junto con más encriptación, como una forma de escapar de la detección. Los ataques también utilizan una variedad de otras técnicas de ataque, como los usuarios de ingeniería social para habilitar macros en Microsoft Office environment, el uso de imágenes para ocultar el código y el cifrado generalizado de recursos.

Si bien los atacantes harán lo mínimo necesario para comprometer con éxito los sistemas, deben hacer más porque los defensores están mejorando, dice Holder Unterbrink, investigador de amenazas de Cisco Talos.

«Los sistemas operativos se volvieron mucho más seguros que hace unos años, por lo que los atacantes deben adaptarse», dice. «El malware es un malware comercial (y por eso tienen que crear) malware lo suficientemente bueno como para eludir las medidas de seguridad en un número razonable de dispositivos».

los El malware LokiBot no está solo en su creciente sofisticación para evitar el análisis y la detección. En octubre, Facebook reveló que el adware usaba cookies de sesión, falsificación de geolocalización y cambio de la configuración de seguridad para mantener la persistencia en su plataforma, lo que resultó en cargos de más de $ 4 millones. En basic, es más possible que los atacantes utilicen direcciones net únicas para engañar a las listas de bloqueo, centrarse en el reconocimiento de las redes objetivo y utilizar la recolección de credenciales para obtener acceso, según el «Informe de defensa digital» de Microsoft, publicado en septiembre.

Las tendencias de ataque subrayan que es necesario un enfoque de defensas de varios niveles para detectar estos ataques. Si bien los adversarios pueden evitar una o más medidas de seguridad, más puntos potenciales de detección significarán una mayor probabilidad de detectar intrusiones antes de que se conviertan en infracciones.

«Los atacantes harán lo que funcione», dice Unterbrink. «Si nos preparáramos para cierta nueva técnica de derivación, simplemente usarían una diferente. Es más importante rastrear, encontrar y detectar nuevas técnicas utilizadas en la naturaleza lo antes posible».

En whole, el cuentagotas LokiBot utiliza tres etapas, cada una con una capa de cifrado, para intentar ocultar la fuente eventual del código. El ejemplo de LokiBot muestra que los actores de amenazas están adoptando cadenas de infección más complejas y utilizando técnicas más sofisticadas para instalar su código y comprometer sistemas.

Distribuir acciones maliciosas en varias etapas es una buena forma de esconderse, dice Unterbrink.

«Debido a la mayor seguridad del sistema operativo y la protección de la pink y los puntos finales, el malware necesita distribuir las etapas de infección maliciosa en diferentes técnicas», dice. «En algunos casos, también son necesarias varias etapas debido a un complejo sistema de distribución de malware comercial utilizado por los adversarios para vender su malware en el subsuelo como un servicio».

Los ataques de phishing realizados a través de un servicio de ciberdelincuencia en línea, por ejemplo, pueden limitar cuánto puede hacer un atacante en esa primera etapa.

El aumento de la sofisticación de las herramientas de ataque no significa necesariamente que los atacantes también se estén volviendo más sofisticados. Hay una variedad de servicios de delitos informáticos disponibles para permitir que incluso atacantes no calificados lleven a cabo ataques relativamente sofisticados.

Muchos ataques continúan utilizando archivos de Microsoft Term y Excel como una forma de ocultar la etapa inicial. En el caso de LokiBot, los atacantes utilizaron un archivo de Excel.

Los defensores deben buscar continuamente inteligencia sobre nuevas campañas y cómo los atacantes están refinando las técnicas, la tecnología y los procedimientos que se utilizan para engañar a los usuarios y comprometer el sistema, afirmó Cisco Talos.

«Las empresas deben esperar que algunos porcentajes de malware nuevo puedan eludir sus sistemas de seguridad», dice Unterbrink. «Algunos usuarios siempre pueden ser engañados para que abran malware».

Debido a que los atacantes suelen pasar días o semanas en una red para determinar los datos más valiosos, a menudo como preludio de un ataque de ransomware, es importante detectar el movimiento lateral, y no solo el compromiso inicial.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Studying, MIT&#39s Engineering Critique, Well-known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Más información





Enlace a la noticia primary