Europa Press
Los expertos de Kaspersky reconocen que es “la primera vez” que observan esta modalidad para ocultar el conocido malware sin archivos.
Los expertos de la multinacional dedicada a la seguridad informática Kaspersky han descubierto una nueva técnica para ocultar el conocido como malware sin archivos (fileless) dentro de los registros de eventos de Windows.
Suscríbete a nuestro newsletter
Los eventos de Windows son una herramienta que registra la actividad del sistema, incluidos los errores y advertencias del equipo, lo que la hace especialmente útil para conocer y afrontar cualquier problema informático.
Los expertos de la firma han detectado una campaña de malware dirigido que utiliza una técnica que han calificado como “única”, en la que “el atacante guardó y luego ejecutó un shellcode cifrado a partir de los registros de eventos de Windows”, como ha señalado el investigador principal de la compañía, Denis Legezo, en un comunicado enviado a Europa Press.
El ataque comienza con la infección del sistema, que se lleva a cabo a través del módulo dropper (un tipo de malware que contiene un archivo ejecutable) de un documento descargado por la víctima.
A continuación, los atacantes inyectan el malware en fragmentos de código shell (que permiten controlar procesos y archivos) encriptado dentro de los registros de eventos de Windows. Posteriormente, son desencriptados y ejecutados.
Además, utilizan una variedad de wrappers (programas o códigos que envuelven otros componentes) antidetección para pasar inadvertidos. Desde Kaspersky destacan que algunos módulos han sido incluso firmados con un certificado digital para una mayor veracidad.
Una vez dentro del sistema y en la última fase de su ataque, los ciberdelincuentes emplean dos tipos de troyanos para hacerse con un mayor control. Estos se rigen por dos mecanismos de comunicación distintos: HTTP con cifrado RC4 y canalizaciones con nombre sin cifrar.
Los ciberdelincuentes también recurren a herramientas comerciales de pentesting (conjunto de ataques simulados para detectar las debilidades de un sistema), concretamente SilentBreak y CobaltStrike. Así, combinan técnicas conocidas con descifradores personalizados.
Los expertos de la firma reconocen que es “la primera vez” que observan el uso de los registros de eventos de Windows para ocultar códigos shell, y perpetrar un ataque de estas características.
¿CÓMO PROTEGERSE?
Para protegerse del malware sin archivos y otras amenazas similares, Kaspersky recomienda utilizar una solución fiable de seguridad para puntos finales, que pueda detectar anomalías en el comportamiento de los archivos, y contra ataques de perfil alto, además de instalar soluciones anti-APT y EDR que permitan descubrir y detectar amenazas, así como investigar y remediar los incidentes.
Los expertos también aconsejan proporcionar al equipo del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) acceso a las últimas amenazas, así como actualizar regularmente a sus miembros con formación profesional.
