Ofertas en tecnología

Los malos hacen ingeniería inversa del antivirus para evadir la detección

Una solicitud de empleo falsa es el vector de entrada de un virus que puede escapar fácilmente de los 50 antivirus más populares del mercado actual. El secreto de la explotación reside en realizar ingeniería inversa del software, realizada por los propios delincuentes como una forma de entender cómo funciona cada uno de ellos y aplicar medidas sigilosas que permitan la entrada pacífica en redes y equipos sin ningún tipo de detección.

La plaga fue descubierta en mayo por Unit 4 2, el equipo de inteligencia de amenazas de Palo Alto Networks. Altamente sofisticada hasta el punto de ser atribuida a un estado-nación, la plaga ha sido utilizada en ataques contra empresas de infraestructura, lo que ha llevado a los expertos a vincularla con el grupo ruso Cozy Bear, ya que los métodos y estilos de ataque son similares.

El currículum falso llega por correo electrónico y está disponible en un archivo ISO, que cuando se abre en la computadora, muestra la información de un documento de Word. Detrás de escena, sin embargo, la plaga realiza las tareas de contaminación y movimiento lateral, además de extraer información que se envía a los servidores de comando que también controlan los próximos pasos, que pueden implicar la descarga de nuevas plagas para detonar ataques.

El uso de la herramienta Brute Ratel (BRC4) en la construcción del malware es otra indicación de que Cozy Bear está detrás de los ataques. Según Unidad 42, dos de las muestras analizadas surgieron menos de 24 horas después del lanzamiento de versiones del software, lo que indica un acceso directo y un amplio conocimiento de sus capacidades que solo podría estar presente en un grupo directamente vinculado a él.

Esta es incluso otra razón por la cual la plaga logra pasar desapercibida en las redes. BRC4 también es utilizado por equipos internos de empresas en pruebas de penetración y puede ser percibido por antivirus como una herramienta legítima en funcionamiento. La tasa de ataque sigue siendo baja, lo que al menos permite a las organizaciones prepararse para una posible propagación.

Aunque la idea es una plaga invulnerable a los antivirus, los expertos no prescinden de su uso y recomiendan actualizaciones y medidas de protección de alto nivel para defender a las corporaciones de los ataques. Los sistemas de monitoreo e inteligencia de amenazas, así como la concientización de los empleados, son buenas medidas de contención, ya que no importa cuán avanzada sea la amenaza, aún utiliza métodos comunes de difusión por correo electrónico.

Además, Unit 42 publicó indicadores de compromiso y otra información técnica que ayudará a los administradores de sistemas y especialmente a los desarrolladores de software de seguridad a prepararse para esta amenaza.

Fuente: Unit42

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart