Descubren una nueva técnica del 'malware' sin archivos

 

Los eventos de Windows son una herramienta que registra la actividad del sistema, incluidos los errores y advertencias del equipo, lo que la hace especialmente útil para conocer y afrontar cualquier problema informático.

 

Los expertos de la firma han detectado una campaña de 'malware' dirigido que utiliza una técnica que han calificado como "única", en la que "el atacante guardó y luego ejecutó un 'shellcode' cifrado a partir de los registros de eventos de Windows", como ha señalado el investigador principal de la compañía, Denis Legezo, en un comunicado enviado a Europa Press.

 

El ataque comienza con la infección del sistema, que se lleva a cabo a través del módulo 'dropper' (un tipo de 'malware' que contiene un archivo ejecutable) de un documento descargado por la víctima.

 

A continuación, los atacantes inyectan el 'malware' en fragmentos de código shell (que permiten controlar procesos y archivos) encriptado dentro de los registros de eventos de Windows. Posteriormente, son desencriptados y ejecutados.

 

Además, utilizan una variedad de 'wrappers' (programas o códigos que envuelven otros componentes) antidetección para pasar inadvertidos. Desde Kaspersky destacan que algunos módulos han sido incluso firmados con un certificado digital para una mayor veracidad.

 

Una vez dentro del sistema y en la última fase de su ataque, los ciberdelincuentes emplean dos tipos de troyanos para hacerse con un mayor control. Estos se rigen por dos mecanismos de comunicación distintos: HTTP con cifrado RC4 y canalizaciones con nombre sin cifrar.