Noticias

Nuevo malware se crea a sí mismo con partes de códigos benignos

Un equipo de investigadores de la Universidad de Texas está desarrollando un programa malicioso que es capaz de componerse a sí mismo sólo con partes de códigos de aplicaciones legítimas instaladas en los equipos comprometidos.

Vishwath Mohan y Kevin Hamlen presentaron su investigación en el taller de tecnologías ofensivas de USENIX y la publicaron en Internet para ponerla a disposición del público.

Los investigadores llamaron a su creación “Frankenstein”, haciendo referencia al monstruo creado por el Doctor Frankenstein con partes de personas muertas en la novela de Mary Shelley.

El programa busca gadgets específicos en programas conocidos, como Internet Explorer, que le sirvan para llevar a cabo tareas concretas. Después, combina los códigos de los gadgets que encuentra en el ordenador infectado para construir un código de malware funcional.

“Aplicamos la idea de recolectar instrucciones para ofuscar el código malicioso. Pero en vez de utilizar un motor metafórico para hacer las mutaciones, unimos las secuencias de códigos que conseguimos en los archivos benignos del sistema afectado para crear un binario con una semántica equivalente”, explicaron los investigadores.

Esto también hace que el malware no tenga una forma específica, sino que varía dependiendo de los programas que tiene instalado el equipo afectado y los gadgets que consigue. Por esta razón, la selección de gadgets es muy importante y los hackers deben ser muy cuidadosos para no dar instrucciones muy vagas ni muy específicas que limiten las posibilidades del malware.

“Al componer el nuevo binario sólo con secuencias de bytes comunes en los binarios que se clasifican como benignos, es mucho menos probable que los mutantes resultantes concuerden con las firmas de las características binarias incluidas en las listas de admitidos y rechazados [de los programas de seguridad]”, agregaron. En otras palabras, el hecho de que el malware esté compuesto por programas que las soluciones antivirus ya detectan como de confianza hace que esta amenaza sea más difícil de detectar y le permite camuflarse en el sistema.

Fuentes:

New Virus Can Build Itself From Stolen Code Snippets On Any Computer Gizmodo Australia

Frankenstein virus stitches malware together from pieces of benign code Wired News

Frankenstein Virus Could Build Itself From Safe Computer Code Huffington Post

Nuevo malware se crea a sí mismo con partes de códigos benignos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada