Novedosas técnicas de evasión empleadas por malware
Los investigadores han descubierto una nueva cepa de malware en documentos basada en macros que evade el reconocimiento permaneciendo inactivo cuando detecta un entorno de prueba.
El malware, según el investigador Caleb Fenton y la firma de seguridad SentinelOne, evade la detección simplemente contando el número de documentos (o la falta de ellos) que residen en un PC y no se ejecuta si un cierto número no están presentes.
Fenton, quien descubrió el malware después de varios intentos fallidos para desencadenar la actuación maliciosa de la muestra, dijo que la falta de documentos en una máquina virtual y ambientes de prueba sandbox hacen que sea fácil, en este caso, para los autores de malware volar bajo el radar.
“Si el malware puede ser lo suficientemente inteligente para saber cuando está siendo probado en una máquina virtual, se puede evitar hacer algo sospechoso o malicioso y por lo tanto aumentar el tiempo que toma ser detectado por este tipo de herramientas”, dijo Fenton en un blog delineando su investigación.
Un entorno de prueba generalmente consiste en una imagen limpia con Windows cargado en un entorno de máquina virtual. La imagen del sistema operativo por lo general carece de documentos y otros signos reveladores de uso del mundo real, dijo Fenton. La muestra de malware que encuentro Fenton (“Intelligent doc Software Solutions Inc [.]”) busca documentos existentes en el equipo destino.
Si no se encuentran documentos de Microsoft Word, la ejecución del código VBA termina, protegiendo el malware del análisis automático y detección. Alternativamente, si hay más de dos documentos de Word en el sistema de destino, la macro descargará e instalará el payload del malware.
El documento con malware se distribuye a través de campañas de spam o phishing, según SentinelOne. El documento de Word malicioso busca y se aprovecha de una característica de Windows llamada RecentFiles. La característica, como su nombre indica, lista y proporciona un fácil acceso a los documentos vistos o creados.
Cuando se detectan documentos a través de RecentFiles, el malware supone que el sistema es un objetivo válido y entra en acción disparando un script de PowerShell que une la PC de la víctima a un servidor de comando y control para descargar un keylogger de sistema de bajo nivel.
En otra técnica de ofuscación, el malware utiliza un servicio web detección de IP (Maxmind) para determinar la red utilizada por el sistema de destino. La dirección IP es una referencia cruzada con una lista de direcciones IP en la lista negra ligadas a empresas de seguridad tales como BlueCoat, Palo Alto y otros. Esas direcciones IP están marcadas y se detiene la ejecución del malware cuando son detectadas, de acuerdo con Fenton.
Fuente: Threat Post XZ
Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=3032
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.