El malware viene en todas las formas y tamaños. Además, la sofisticación del malware ha crecido considerablemente a lo largo de los años. Los atacantes se dan cuenta de que tratar de encajar cada aspecto de su paquete malicioso en una sola carga útil no siempre es la manera más eficiente.

Con el tiempo, el malware se ha vuelto modular. Es decir, algunas variantes de malware pueden utilizar diferentes módulos para modificar la forma en que afectan al sistema de destino. Entonces, ¿qué es el malware modular y cómo funciona?

¿Qué es el malware modular?

El malware modular es una amenaza avanzada que ataca un sistema en diferentes etapas. En lugar de entrar por la puerta principal, el malware modular adopta un enfoque más sutil.

Para ello, sólo tiene que instalar primero los componentes esenciales. Entonces, en lugar de provocar una fanfarria y alertar a los usuarios de su presencia, el primer módulo explora la seguridad del sistema y de la red; quién está a cargo, qué protecciones se están ejecutando, dónde el malware puede encontrar vulnerabilidades, qué exploits tienen las mejores posibilidades de éxito, etcétera.

Después de explorar con éxito el entorno local, el módulo de malware de la primera etapa puede llamar a su servidor de comando y control (C2). El C2 puede enviar más instrucciones junto con módulos de malware adicionales para aprovechar el entorno específico en el que opera el malware.

El malware modular tiene varias ventajas en comparación con el malware que agrupa toda su funcionalidad en una sola carga útil.

  • El autor del malware puede cambiar rápidamente la firma del malware para evadir los antivirus y otros programas de seguridad.
  • El malware modular permite una amplia funcionalidad para una gran variedad de entornos. De este modo, los autores pueden reaccionar a objetivos específicos o, alternativamente, asignar módulos específicos para su uso en entornos particulares.
  • Los módulos iniciales son pequeños y algo más fáciles de ofuscar.
  • La combinación de varios módulos de malware hace que los investigadores de seguridad se mantengan al tanto de lo que vendrá después.

El malware modular no es una nueva amenaza repentina. Los desarrolladores de malware han hecho un uso eficiente de los programas maliciosos modulares durante mucho tiempo. La diferencia es que los investigadores en seguridad se encuentran con malware más modular en una gama más amplia de situaciones. Los investigadores también han descubierto la enorme red de bots Necurs (famosa por distribuir las variantes de ransomware Dridex y Locky), que distribuye cargas útiles de malware modulares. (de todas formas ¿Qué es una botnet?)

Ejemplos de malware modular

Hay algunos ejemplos de malware modular muy interesantes. Aquí hay algunas para que las considere.

VPNFilter

VPNFilter es una variante reciente de malware que ataca a los routers y a los dispositivos de Internet de las Cosas (IoT). El malware funciona en tres etapas.

El malware de la primera etapa contacta con un servidor de comando y control para descargar el módulo de la segunda etapa. El módulo de la segunda etapa recoge datos, ejecuta comandos y puede interferir con la gestión de dispositivos (incluyendo la capacidad de “bloquear” un router, un IoT o un dispositivo NAS). La segunda etapa también puede descargar módulos de la tercera etapa, que funcionan como plugins para la segunda etapa. Los módulos de la etapa tres incluyen un sniffer de paquetes para tráfico SCADA, un módulo de inyección de paquetes, y un módulo que permite que el malware de la etapa 2 se comunique usando la red Tor.

T9000

Los investigadores de seguridad de Palo Alto Networks descubrieron el malware del T9000 (sin relación con Terminator o Skynet… ¡¿o sí?!).

T9000 es una herramienta de inteligencia y recopilación de datos. Una vez instalado, el T9000 permite al atacante “capturar datos cifrados, tomar capturas de pantalla de aplicaciones específicas y dirigirse específicamente a los usuarios de Skype”, así como archivos de productos de Microsoft Office. El T9000 viene con diferentes módulos diseñados para eludir hasta 24 productos de seguridad diferentes, alterando su proceso de instalación para permanecer por debajo del radar.

DanaBot

DanaBot es un troyano bancario multietapa con diferentes plugins que el autor utiliza para ampliar su funcionalidad. Por ejemplo, en mayo de 2018, DanaBot fue visto en una serie de ataques contra bancos australianos. En ese momento, los investigadores descubrieron un plugin de olfateo e inyección de paquetes, un plugin de visualización remota de VNC, un plugin de recolección de datos y un plugin de Tor que permite una comunicación segura.

“DanaBot es un troyano bancario, lo que significa que está necesariamente geo-dirigido hasta cierto punto”, lee la entrada del blog de DanaBot de Proofpoint. “Sin embargo, la adopción por parte de actores de gran volumen, como vimos en la campaña de EE.UU., sugiere un desarrollo activo, una expansión geográfica y un interés continuo de los actores de la amenaza en el malware. El malware en sí mismo contiene una serie de características anti-análisis, así como módulos actualizados de robo y control remoto, lo que aumenta aún más su atractivo y utilidad para los actores de las amenazas”.

Marap, AdvisorsBot y CobInt

Se están combinando tres variantes modulares de malware en una sola sección, tal como lo descubrieron los impresionantes investigadores de seguridad de Proofpoint. Las variantes modulares de malware tienen similitudes, pero tienen usos diferentes. Además, CobInt forma parte de una campaña para el Grupo Cobalt, una organización criminal vinculada a una larga lista de ciberdelitos bancarios y financieros.

Tanto Marap como AdvisorsBot fueron descubiertos explorando los sistemas objetivo para la defensa y el mapeo de la red, y si el malware debería descargar toda la carga útil. Si el sistema objetivo es de suficiente interés (por ejemplo, tiene valor), el malware llama a la segunda etapa del ataque.

Al igual que otras variantes modulares de malware, Marap, AdvisorsBot y CobInt siguen un flujo de tres pasos. La primera etapa es típicamente un correo electrónico con un archivo adjunto infectado que contiene la vulnerabilidad inicial. Si el exploit se ejecuta, el malware solicita inmediatamente la segunda etapa. En la segunda etapa se encuentra el módulo de reconocimiento que evalúa las medidas de seguridad y el entorno de red del sistema de destino. Si el malware lo considera todo adecuado, el tercer y último módulo se descarga, incluyendo la carga útil principal.

Análisis de Proofpoint de:

Mayhem

Mayhem es una variante de malware modular ligeramente más antigua, que salió a la luz por primera vez en 2014. Sin embargo, Mayhem sigue siendo un gran ejemplo de malware modular. El malware, descubierto por los investigadores de seguridad de Yandex, se dirige a servidores web Linux y Unix. Se instala a través de un script PHP malicioso.

Una vez instalado, el script puede recurrir a varios plugins que definen el uso final del malware.

Los plugins incluyen un cracker de contraseñas de fuerza bruta que apunta a cuentas FTP, WordPress y Joomla, un rastreador web para buscar otros servidores vulnerables y una herramienta que explota la vulnerabilidad OpenSLL Heartbleed.

DiamondFox

Nuestra última variante modular de malware es también una de las más completas. También es una de las más preocupantes, por un par de razones.

Razón número uno: DiamondFox es una botnet modular que se vende en varios foros subterráneos. Los potenciales ciberdelincuentes pueden adquirir el paquete modular de redes de bots DiamondFox para acceder a una amplia gama de capacidades de ataque avanzadas. La herramienta se actualiza regularmente y, como todos los buenos servicios en línea, cuenta con un servicio de atención al cliente personalizado. (¡Incluso tiene un registro de cambios!)

Segunda razón: la red de bots modular DiamondFox viene con una gama de plugins. Éstos se activan y desactivan a través de un tablero de instrumentos que no estaría fuera de lugar como una aplicación doméstica inteligente. Los plugins incluyen herramientas de espionaje a medida, herramientas de robo de credenciales, herramientas de DDoS, registradores de pulsaciones de teclas, remitentes de spam e incluso un scraper (raspador) de RAM.

Cómo detener un ataque de malware modular

En la actualidad, ninguna herramienta específica protege contra una variante específica de malware modular. Además, algunas variantes modulares de malware tienen un alcance geográfico limitado. Por ejemplo, Marap, AdvisorsBot y CobInt se encuentran principalmente en Rusia y los países de la CIS.

Dicho esto, los investigadores de Proofpoint señalaron que, a pesar de las limitaciones geográficas actuales, si otros delincuentes ven una organización delictiva tan establecida que utiliza malware modular, otros seguramente seguirán su ejemplo.

Es importante conocer cómo llega el malware modular a su sistema. La mayoría utiliza archivos adjuntos de correo electrónico infectados, que suelen contener un documento de Microsoft Office con un guión VBA malicioso. Los atacantes utilizan este método porque es fácil enviar correos electrónicos infectados a millones de objetivos potenciales. Además, el exploit inicial es pequeño y fácilmente disfrazado de un archivo de Office.

Como siempre, asegúrese de mantener su sistema operativo actualizado, así como también las instalaciones de software en su equipo y para protegerlo eficientemente considere la posibilidad de invertir en un programa anti-malware de pago.

Fuente: Makeuseof

 

 

 

 

Anuncios