Recientemente, los expertos de
seguridad de SentinelOne han detectado una nueva técnica de carga para los
troyanos que permite su ejecución directamente en la memoria RAM sin pasar en
ningún momento por el disco duro y de forma totalmente cifrada.
De esta manera, el malware es capaz de evadir la mayoría de los sistemas de seguridad actuales, ya que estos se basan principalmente en analizar ficheros guardados en el disco duro y, en este caso, no se puede analizar algo que, sencillamente, no existe. Los análisis por comportamiento de procesos que incluyen algunas suites de seguridad sí son capaces de detectar su ejecución, aunque de una forma no demasiado eficaz.
La técnica, bastante complicada de
explicar, se basa principalmente en el uso de una aplicación totalmente
inofensiva para descargar otros archivos totalmente inofensivos, en este caso,
una serie de imágenes .png formadas por pixels de colores. Mientras que estos
pixels no tienen ningún significado para el ojo humano, los ordenadores sí
saben interpretarlos y, al descifrarlos, consiguen un script que, inyectado al
proceso inofensivo de la primera aplicación, la convierten en el troyano de
acceso remoto, sin que en ningún momento este haya estado alojado en el
ordenador.
Además, este malware incluye una serie de técnicas adicionales como la capacidad de detectar si se ejecuta sobre una máquina virtual y detectar herramientas de análisis de procesos para poder saber si se le está intentando analizar en un entorno de pruebas y, de ser así, eliminarse a sí mismo.
Por el momento solo se han detectado
troyanos con esta técnica en varios países de Asia, aunque es muy probable que,
de tener éxito, termine por llegar al resto del mundo. Sea como sea, los
piratas informáticos cada vez descubren nuevas formas más complejas para
ocultar y ejecutar sus piezas de software malicioso.
Es muy complicado protegerse de algo que, en teoría, no existe, aunque, igual que siempre, debemos evitar descargar y ejecutar archivos desde fuentes de dudosa confianza (correos electrónicos, descargas desde páginas web sospechosas, etc) de manera que evitemos descargar ningún ejecutable aparentemente inofensivo pero que, en realidad, pueda suponer un riesgo considerable para nuestro equipo.