GootKit: nuevas medidas de camuflaje y persistencia

Softpedia informa, haciendo referencia al informe de IBM X-Force, que uno de los troyanos bancarios más activos, GootKit, recibió en junio una sólida actualización que cambió de nuevo su código fuente.

A diferencia de sus competidores, este troyano bancario que apareció en el mundo real en 2014, nunca se alquiló como un servicio (Malware-as-a-Service) y su código fuente nunca se publicó. De acuerdo con X-Force, los operadores de GootKit mantienen un control estricto del calendario de los ataques y de las listas de víctimas potenciales, cuya mayoría son clientes de bancos europeos, y entre ellos hay personas jurídicas.

GootKit se propaga con la ayuda de los paquetes de exploit Angler y Neutrino. El malware roba los datos de banca en línea con la ayuda de inyecciones web que suplantan el contenido del navegador en tiempo real. Sus autores están haciendo un gran esfuerzo para proteger la criatura de la detección, y para este propósito mejoran constantemente el código fuente.

El mes pasado, los expertos de X-Force descubrieron que los propietarios de GootKit volvieron a hacer modificaciones, y que son significativas: optimizaron el tamaño del módulo que roba datos de video, para lo que cambiaron el formato MP4 por el antiguo .ivf comprimido con LZMA; mejoraron la detección de máquinas virtuales (que se suelen utilizar para el análisis de código sospechoso) y cambiaron la forma de instalación.

Si antes GootKit, al igual que muchos troyanos bancarios modernos, contaba con un dropper que lanzaba los archivos ejecutables en la máquina infectada, ahora sólo carga el archivo DLL del malware en un proceso que elige por su propia cuenta. Y este proceso no es de ninguna manera explorer.exe, utilizado por casi todos los troyanos bancarios (entre ellos el anterior GootKit), sino svchost.exe, cuyas múltiples copias que se ejecutan al mismo tiempo, puede complicar enormemente la tarea de los escáneres antivirus.

Además, si antes GootKit realizaba cambios en el registro de Windows para asegurar su persistencia, ahora se inscribe en el sistema como una tarea programada con un nombre elegido al azar, si su despliegue se produce con privilegios mínimos (LUA), o como un servicio de Windows que requiere derechos de administrador.

En el primer caso, la tarea maliciosa se ejecuta cada minuto, como si fuera un proceso de vigilancia, y también después de cada inicio del sistema, para que GootKit pueda mantener su presencia en la estación de trabajo después de la detección de virus o la instalación de actualizaciones del sistema. Si el malware se registró como un servicio, se inicia antes de que el usuario entre en el sistema y continúa funcionando después de su salida. El nombre del servicio malicioso se escoge de forma aleatoria, con el fin de no despertar las sospechas del usuario cuando revisa la lista de los procesos en curso, ni del software de protección durante su análisis.

El nuevo Gootkit realiza la verificación de la presencia de máquinas virtuales en dos pasos. Antes de implementar su “carga útil”, el dropper busca valores asociados con máquinas virtuales (VMWare, VBOX, SONI, etc.) en el registro del sistema, el disco duro, el BIOS, y como parte de las direcciones MAC. Si el malware detecta estas variables, se desactiva y envía un informe al servidor de administración para que su propietario pueda tomar alguna acción, por ejemplo, poner la estación de trabajo en la lista negra.

Más adelante, estas verificaciones se repiten y se le añaden nuevas. Por ejemplo, se hacen búsquedas de valores pertinentes en el registro de sucesos del BIOS, se los compara con la lista blanca de nombres de la CPU (porque las máquinas virtuales suelen asignar al núcleo del procesador un nombre no estándar). También se comprueba la presencia de unidades de disco duro con interfaz IDE y SCSI.

El análisis del archivo de configuración de GootKit mostró que ataca sobre todo a bancos franceses y británicos, pero también está interesado en los italianos y españoles. En general, la población de GootKit es muy limitada. Según los datos de la IBM, representa sólo el 4% de los ataques de malware financieros.

Fuentes: Softpedia

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *