GZipDe : Amenaza indetectable por los antivirus de Windows


GZipDe virus afectando a equipos Windows y no detectable por antivirus

La seguridad de los sistemas operativos mejora. Las herramientas de seguridad también progresan. Por este motivo, los ciberdelincuentes se ven obligados a mejorar sus amenazas, evitando que sean detectadas y pasen mucho más tiempo desapercibidas tras su llegada al equipo. Este es el caso de GZipDe, un virus que ofusca el código de su servicio para no ser detectado mientras se está ejecutando.

Los expertos en seguridad de diferentes empresas coinciden en que se trata de una operación de espionaje a gran escala. Está centrada a afectar a equipos que cuentan con un sistema operativo perteneciente a la familia Windows. Indican que, desde Windows 7, cualquiera puede verse afectado, incluso las versiones destinadas a ejecutarse en servidores.

Sin embargo, GZipDe cuenta con algunas peculiaridades dignas de mencionar. Y es que, tal y como ya hemos indicado, los ciberdelincuentes deben introducir mejoras en sus amenazas para evitar que estas sean detectadas por las herramientas de seguridad.

Se trata de una carrera que, podríamos decir, las amenazas siempre llevan la delantera.

Desde VirtusTotal se ha buscado ofrecer más información. Sin embargo, ha sido imposible. Interesaba sobre todo saber cuál es el origen, algo que, por el momento, será información desconocida.

GZipDe se distribuye a través de un .doc

Lo que sí se conoce es la vía de difusión de esta amenaza. Tal y como se ha utilizado en otras ocasiones, se trata de un documento perteneciente a la suite de ofimática Microsoft Word.

Para ser más precisos, este documento cuenta con un script en Visual que será el encargado de contactar con un servidor y realizar la descarga del ejecutable de la amenaza. La dirección del servidor del que se realiza la descarga está hardcodeada, siendo 118.193.251.137.

Pero lo dicho hasta el momento podríamos decir que no es del todo cierto. Para ser más precisos, el ejecutable descargado y programado utilizando C# se trata de un intermediario que será el encargado de desplegar GZipDe en el equipo Windows infectado. Sin embargo, cuenta con otras funciones.

La amenaza propiamente dicha está programada utilizando el lenguaje de programación .NET. Además, se vale de un proceso de cifrado que se considera complejo. Esto permite ofuscar la información almacenada en memoria y evitar que el proceso asociado a la amenaza sea detectado por las herramientas de seguridad.

GZipDe o cómo descargar más amenazas en el equipo infectado

Aunque podríamos decir que estamos ante un virus común, con unas funciones determinadas centradas en el robo de información o monitorización de la actividad del equipo, la realidad es muy diferente. Para ser más precisos, su actividad se limita a conectar con un servidor remoto del que también se ha sabido cuál es su dirección IP 175.194.42.8

Los expertos en seguridad indican que, la amenaza distribuida posteriormente se trata de una puerta trasera para realizar el control remoto del equipo infectado. Para ser más precisos, hablamos de un software que está basado en Metasploit. Para todos aquellos que no lo conozcan, se trata de un utilidad que permite a empresas de seguridad realizar test de penetración en equipos.

Por el momento, tal y como se ha indicado, GZipDe se trata de un software que resulta complicado de detectar por herramientas de seguridad. Teniendo en cuenta que se sabe cuál es la vía de distribución, lo mejor es extremar las precauciones a la hora de realizar la apertura de documentos de remitentes de correos electrónicos desconocidos.

 

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies