Malware ‘sin archivos’ infecta a 140 empresas en 40 paises



09-Feb-2017. Cientos de bancos e instituciones financieras de todo el mundo pueden haber sido infectadas con un sofisticado malware sin archivos que es difícil de detectar.

La amenaza fue descubierta por los expertos de la firma de seguridad Kaspersky Lab, los delincuentes están dirigidos a organizaciones en muchas industrias. Bancos, compañías de telecomunicaciones y gobierno de 40 países fueron infectados con un malware sin archivos que reside en la memoria de los equipos comprometidos y no copia ningún archivo o carpeta en el disco duro.

Los investigadores descubrieron que el malware ‘sin archivos’ ya había infectado sistemas en 140 redes empresariales, con la mayoría de las víctimas ubicadas en los Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.

Los investigadores creen que el número real de víctimas es probablemente mucho mayor porque la amenaza es muy difícil de detectar.

El código malicioso se inyecta directamente en la memoria de la máquina infectada y el malware se ejecuta en la RAM del sistema.

“Un buen ejemplo de la implementación de estas técnicas es Duqu2. Después de llegar al disco duro y comenzar su paquete MSI malicioso, este se elimina del disco cambiando el nombre de archivos y deja parte de sí mismo en la memoria con un payload. Es por eso que es fundamental el método forense en la memoria, para el análisis del malware y sus funciones. Otra parte importante de un ataque son los túneles que van a ser instalados en la red por los atacantes “, lee el análisis publicado por Kaspersky.

El ataque fue descubierto por un equipo de seguridad de un banco que descubrió una copia del código Meterpreter, un componente en memoria del Framework Metasploit, en una memoria física de un controlador de dominio de Microsoft (DC).

Los expertos de Kaspersky Lab registraron las amenazas como MEM: Trojan.Win32.Cometer y MEM: Trojan.Win32.Metasploit. El malware toma ventaja de los scripts de PowerShell dentro del registro de Windows para cargar el código Meterpreter directamente en la memoria, técnicas similares aprovechando el PowerShell ya han sido vistas por otros malware.

“Kaspersky Lab participó en el análisis forense después de que este ataque fue detectado, descubriendo el uso de scripts de PowerShell dentro del registro de Windows. Además se descubrió que la utilidad NETSH se utiliza para el tráfico de túnel desde el host de la víctima a C2 del atacante “, continúa el análisis.

Consulta aquí el informe completo.

Leave a Reply