Noticias

Nueva técnica de malware utiliza registros de eventos de Windows para ocultar archivos

MADRID, 24 de mayo. (Portaltic/EP) –

Los expertos de Kaspersky Lab, multinacional dedicada a la seguridad informática, han descubierto una nueva forma de ocultar el llamado malware “sin archivos” en los registros de eventos de Windows.

Windows Events es un programa que registra la actividad del sistema, incluidos los errores y advertencias de la computadora, lo que lo hace particularmente útil para diagnosticar y resolver problemas de la computadora.

Según el investigador principal de la compañía, Denis Legezo, en un comunicado enviado a Europa Press, los expertos de la firma han descubierto una campaña de ‘malware’ dirigida que emplea una técnica «única» en la que «el atacante guarda y luego ejecuta un ‘shellcode’ encriptado de los registros de eventos de Windows”.

El ataque comienza con la infección del sistema, que se realiza mediante la «caída» de un módulo (un tipo de «malware» que contiene un archivo ejecutable) de un documento que la víctima ha descargado.

Luego, el malware se inyecta en los registros de eventos de Windows a través de fragmentos de código de shell (que permiten el control de procesos y archivos). Luego se descifran y se llevan a cabo.

También utilizan «envoltorios» antidetección (programas o códigos que envuelven otros componentes) para evitar la detección. Algunos módulos incluso se han firmado con un certificado digital para mayor precisión, según Kaspersky.

Los ciberdelincuentes utilizan dos tipos de troyanos para obtener más control una vez dentro del sistema y en la fase final de su ataque. Dos mecanismos de comunicación diferentes gobiernan estos: HTTP con cifrado RC4 y canalizaciones con nombre sin cifrar.

Las herramientas comerciales de ‘pentesting’, como SilentBreak y CobaltStrike, también son utilizadas por los ciberdelincuentes para detectar debilidades en un sistema. Como resultado, combinan métodos bien conocidos con descifradores personalizados.

Los expertos de la firma admiten que esta es “la primera vez” que ven que los registros de eventos de Windows se utilizan para ocultar códigos ‘shell’ y llevar a cabo un ataque con estas características.

SIN ARCHIVOS, CÓMO PROTEGERSE DEL ‘MALWARE’

Además de instalar soluciones anti-APT, Kaspersky recomienda usar una solución confiable de seguridad de punto final que pueda detectar anomalías en el comportamiento de los archivos y proteger contra ataques de alto perfil para protegerse contra malware sin archivos y otras amenazas similares. EDR se utiliza para encontrar y detectar amenazas, así como para investigar y resolver incidentes.

Los expertos también recomiendan dar acceso al equipo del Centro de Operaciones de Seguridad (SOC) a las amenazas más recientes y brindar capacitación profesional a sus miembros de manera regular.

Oliver Barker

Nació en Bristol y se crió en Southampton. Tiene una licenciatura en Contabilidad y Economía y una maestría en Finanzas y Economía de la Universidad de Southampton. Tiene 34 años y vive en Midanbury, Southampton.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba