17 de abril de 2018

EARLY BIRD. Como ocultan malware los piratas informáticos sin ser detectado

Investigadores de seguridad advierten sobre una nueva técnica para ocultar código malicioso, técnica que ha recibido el nombre de “Early Bird“.
Early Bird es una nueva técnica para ocultar malware descubierta por los expertos de seguridad de firma Cyberbit. Esta técnica ha sido vista en 3 tipos de malware muy sofisticados y, según los expertos de seguridad, permite a los piratas informáticos inyectar código dentro de un proceso legítimo del sistema antes de que comience la cadena de ejecución del archivo en cuestión, evitando así que los antivirus puedan detectar la amenaza en el proceso.
Los piratas informáticos se aprovechan de las llamadas APC del sistema (Asynchronous Procedure Calls) que permiten la ejecución de código asíncrono dentro de un hilo en particular del sistema. Al inyectarse este código dentro de un proceso ya verificado por el sistema, este no pasa los controles de los antivirus, no levantando sospechas y ejecutándose sin problemas en el sistema operativo, poniendo en peligro a los usuarios.
Para ejecutarse con éxito, los piratas informáticos lo primero que hacen es crear un proceso suspendido a partir de un proceso legítimo del sistema operativo, asignarle un espacio de memoria e inyectar en este espacio el código malicioso. Una vez listo, el malware lanza una llamada APC al sistema mandando al Kernel de Windows lanzar el proceso malicioso tan pronto como se reanude el hilo principal.
Por el momento ya se han detectado 3 malware que hacen uso de esta técnica para infectar los sistemas pasando totalmente desapercibidos: TurnedUp, DorkBot y una variante del troyano bancario Carberp.
¿Cómo podemos protegernos del malware oculto con Early Bird si es infectable?
Como hemos explicado, esta es una técnica muy sencilla pero muy poderosa para ocultar la ejecución de malware en un ordenador. Además, al utilizar técnica de tan bajo nivel, protegernos de estas técnicas es realmente complicado, ya que no es algo que se pueda solucionar con un simple parche o una actualización del motor antivirus.
La mejor (y probablemente única) forma de protegernos de esta amenaza informática es el sentido común. Debemos tener siempre cuidado con los archivos que descargamos de Internet a la hora de ejecutarlos en nuestro ordenador, asegurándonos de que solo ejecutamos archivos que sean de confianza, descargados de webs fiables y evitando descargar nada desde las principales fuentes de distribución de malware, como el correo electrónico o las webs de descargas de software pirata.
Un antivirus actualizado, además, nos ayudará a detectar las muestras de malware ya conocidas, aunque, como explicamos, no se podrá hacer nada con el malware zero-day que utilice esta técnica.
Fuente: thehackernews