Se pueden leer artículos en la web que califican a él malware TheFlame como una super-ciber-arma del futuro. Este llamativo titular no puede más que asustar a los lectores y prepararlos para un apocalipsis cibernético. Las razones para esta espectacular clasificación están completamente desenfocadas. Parece que lo que sorprende del malware, es en realidad lo que menos interesa.

TheFlame es “el espía definitivo”, copia datos del disco duro, registra mensajes instantáneos y otras comunicaciones online, registra pulsaciones de teclas, toma capturas de pantalla e incluso enciende el micrófono y graba conversaciones cercanas“.

Este anterior párrafo es real y fue leído en los medios de comunicación, solo recopila las características comunes de cualquier malware actual y también de hace años al alcance de cualquiera hoy en día. ¿Por qué va a sorprendernos entonces? ¿Por qué los periodistas lo destacan como un hecho diferenciador?

Kaspersky describe a TheFlame (en inglés) como una puerta trasera y un troyano con funciones de gusano. El punto inicial de la entrada del virus es desconocido — es posible que sea a través de phishing o sitios Web infectados — pero después de la infección inicial, el virus puede propagarse a través de memorias USB o redes locales.

Los usuarios siguen dejándose llevar por las funcionalidades más llamativas, independientemente de su utilidad práctica. Esta es la razón por la que en las series de televisión y películas las computadoras se muestran con gráficos espectaculares, sonidos y efectos especiales en cada movimiento de la pantalla, del teclado o el ratón. Si bien son muy vistosos, en la vida real a los cinco minutos de uso resultarían insoportables. Grabar la conversación, por muy espectacular que pueda parecer, no lo es, actualmente para un troyano bancario esto no es útil. Para lograr robar una cuenta no es necesario lucir gráficos espectaculares o emitir sonidos galácticos.

Sin embargo, es técnicamente más interesante y peligroso controlar el DOM del navegador web, modificarlo, inyectarse en procesos del sistema… pero es poco llamativo para los usuarios comunes.

El malware esta por delante de las medidas de seguridad, por lo tanto, no deberíamos sorprendernos de las características que convierten al malware en algo tan escurridizo que las elude. Principalmente, lo llamativo del malware actual no es lo qué puede llegar a hacer, sino el cómo llega a hacerlo y mantenerlo. En definitiva, los tres puntos clave son los siguientes:

  • Cómo es que logran infectar los sistemas. Hoy en día, uno de los mayores méritos del malware, son las habilidades técnicas de los explotadores para aprovechar las vulnerabilidades, la capacidad de propagar estos exploits, eludir las medidas de protección de los sistemas operativos y hacerse con el control del equipo. Todo lo anterior es un arte complejo, y por esa razón es lo más valorado en el mercado negro: conocer una vulnerabilidad es lo que mejor se paga hoy en día, pues permite ejecutar código arbitrario en los sistemas. A partir de ese momento todo lo que se consiga, aunque puede ser interesante, ya no es “tan complejo“. Ya ha sido conseguido el trabajo duro. Una vez con el volante en la mano, conducir el coche no es tan difícil.
  • Cómo consiguen pasar desapercibidos. Los creadores de malware actualmente centran sus esfuerzos en la ofuscación del código, el empaquetamiento, técnicas anti debugger… la inversión se concentra en cómo hacer que el código sea más complejo, y lleve más tiempo su estudio para permitirles pasar desapercibidos. Las técnicas que utilizan son a veces muy ingeniosas, pero generalmente no suelen trascender del laboratorio que las estudia.
  • El uso de la ingeniería social. A los especialistas en seguridad informática les sorprende cómo los atacantes destripan la naturaleza humana y consiguen engañar a los usuarios para que hagan clic sobre los enlaces, entreguen sus datos personales o incluso realicen transferencias ficticias en favor del propio atacante… Un ejemplo de esto es: sería como sorprenderse más de que el llamado virus de la policía pueda crear técnicamente una ventana que ocupa toda la pantalla, que el hecho de que haya conseguido una credibilidad en su estafa consiguiendo una efectividad tan elevada.

Definitivamente, no es que TheFlame sea un malware más sin ningún mérito (en lo absoluto), sino lo que llama la atención es; que no se mencionen las características que realmente lo hacen único  (programación LUA, exploits internos y conexión por bluetooth, recolección de metadatos…). La otra cuestión es que, no es necesario un despliegue mediático de este calibre para que a los usuarios comunes le llegue un mensaje de unas características que suenan a ciencia ficción… cuando el malware común las tiene, y es el que en estos momentos infecta a millones de equipos.

Fuente: hispasec.com