Pages Navigation Menu

Expresión innovadora

ZChess Clock

Cómo el ransomware BitPaymer cubre sus pistas

Artículo basado en la investigación de Anand Ajjan y Dorka Palotay de SophosLabs, y Paul Ducklin de Naked Security.

 

El ransomware es un instrumento contundente que va por tu dinero y no le importa si deja huellas. Así que cuando los investigadores de SophosLabs analizaron una muestra de la familia de ransomware BitPaymer, se sorprendieron al verlo usando un truco de codificación de malware que no se ve habitualmente, que hace más difícil averiguar cómo se desarrolló el ataque después de que ha ocurrido. Si bien puede sonar indiferente que tus archivos hayan sido revisados, lo cierto es que hace más difícil advertir a la próxima víctima sobre lo que debe buscar.

Esta muestra utiliza una característica del sistema de archivos de Windows denominada flujos de datos alternativos (ADS) para que el malware sea menos obvio durante la ejecución. BitPaymer comienza como un archivo .EXE regular (programa), pero al ejecutar el malware se copia a sí mismo no en uno, sino en dos flujos de datos alternativos donde existe como un subcomponente de archivos vacíos. El malware luego transfiere el control a las nuevas copias de sí mismo en ADS y elimina el archivo .EXE más obvio en el que llegó al dispositivo.

Los investigadores de SophosLabs han recibido una muestra del malware pero, afortunadamente, no lo han visto todavía en desarrollo. Si se usara, probablemente llegara como un enlace o vínculo de correo electrónico malicioso, como es típico para los ataques de ransomware. Sophos Anti-Virus detecta BitPaymer como Troj / Agent-AXEG y HPmal / Ransom-Y.

 

Secuencia de ataque

 

Según el análisis de SophosLabs, BitPaymer:

 

• Se copia en el directorio APPDATA, utilizando un nombre de archivo aleatorio y marcando el archivo oculto. Esta es una ubicación comúnmente utilizada por el malware como un lugar para “esconderse”.

• Establece una entrada de ejecución automática en el registro para relanzar la copia oculta de BitPaymer automáticamente si reinicia su computadora (esto significa que tirar del enchufe no guardará sus datos)

• Genera una copia de sí mismo de un ADS llamado :exe en un archivo vacío de nombre aleatorio, utilizando esta copia para ejecutar el comando NET VIEW para obtener una lista de los recursos compartidos de red.

• Crea una segunda copia oculta de sí mismo en el directorio APPDATA y, a continuación, genera una copia de esta copia, utilizando nuevamente un ADS denominado :exe en un archivo vacío de nombre aleatorio. Esta instancia del malware codifica los datos del disco y los recursos compartidos de red.

 

Dado que las copias en ejecución de los archivos maliciosos originales terminan envueltas en dos ADS, son menos visibles de lo habitual y pueden borrar los archivos maliciosos originales cuando terminan. 

La sofisticación de los ataques implica que cada vez sea necesario estar más atentos para detectar una potencial vulnerabilidad, es por esto que, desde SophosLabs se recomienda evaluar la fiabilidad de archivos adjuntos en correos electrónicos, los sitios webs que se visitan, y la seguridad de la red, ya que en este último caso si algún equipo de esa red ya está infectado, el riesgo de propagación es muy alto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ZChess Clock