Recientemente, los expertos de seguridad de SentinelOne han detectado una nueva técnica de carga para los troyanos que permite su ejecución directamente en la memoria RAM sin pasar en ningún momento por el disco duro y de forma totalmente cifrada. De esta manera, el malware es capaz de evadir la mayoría de los sistemas de seguridad actuales, ya que estos se basan principalmente en analizar ficheros guardados en el disco duro y, en este caso, no se puede analizar algo que, sencillamente, no existe. Los análisis por comportamiento de procesos que incluyen algunas suites de seguridad sí son capaces de detectar su ejecución, aunque de una forma no demasiado eficaz.

La técnica, bastante complicada de explicar, se basa principalmente en el uso de una aplicación totalmente inofensiva para descargar otros archivos totalmente inofensivos, en este caso, una serie de imágenes .png formadas por pixels de colores. Mientras que estos pixels no tienen ningún significado para el ojo humano, los ordenadores sí saben interpretarlos y, al descifrarlos, consiguen un script que, inyectado al proceso inofensivo de la primera aplicación, la convierten en el troyano de acceso remoto, sin que en ningún momento este haya estado alojado en el ordenador.

Además, este malware incluye una serie de técnicas adicionales como la capacidad de detectar si se ejecuta sobre una máquina virtual y detectar herramientas de análisis de procesos para poder saber si se le está intentando analizar en un entorno de pruebas y, de ser así, eliminarse a sí mismo.

Por el momento solo se han detectado troyanos con esta técnica en varios países de Asia, aunque es muy probable que, de tener éxito, termine por llegar al resto del mundo. Sea como sea, los piratas informáticos cada vez descubren nuevas formas más complejas para ocultar y ejecutar sus piezas de software malicioso.

Es muy complicado protegerse de algo que, en teoría, no existe, aunque, igual que siempre, debemos evitar descargar y ejecutar archivos desde fuentes de dudosa confianza (correos electrónicos, descargas desde páginas web sospechosas, etc) de manera que evitemos descargar ningún ejecutable aparentemente inofensivo pero que, en realidad, pueda suponer un riesgo considerable para nuestro equipo.

Fuente: Sentinelone

Anuncios