string(14) "attribute >>>>" array(0) { }

Malware casi invisible

string(14) "attribute >>>>" array(5) { ["width"]=> int(601) ["height"]=> int(158) ["file"]=> string(35) "2017/02/Stuxnet1-e1486725489449.png" ["sizes"]=> array(3) { ["thumbnail"]=> array(4) { ["file"]=> string(20) "Stuxnet1-150x150.png" ["width"]=> int(150) ["height"]=> int(150) ["mime-type"]=> string(9) "image/png" } ["medium"]=> array(4) { ["file"]=> string(19) "Stuxnet1-300x79.png" ["width"]=> int(300) ["height"]=> int(79) ["mime-type"]=> string(9) "image/png" } ["medium_large"]=> array(4) { ["file"]=> string(20) "Stuxnet1-768x202.png" ["width"]=> int(768) ["height"]=> int(202) ["mime-type"]=> string(9) "image/png" } } ["image_meta"]=> array(12) { ["aperture"]=> string(1) "0" ["credit"]=> string(0) "" ["camera"]=> string(0) "" ["caption"]=> string(0) "" ["created_timestamp"]=> string(1) "0" ["copyright"]=> string(0) "" ["focal_length"]=> string(1) "0" ["iso"]=> string(1) "0" ["shutter_speed"]=> string(1) "0" ["title"]=> string(0) "" ["orientation"]=> string(1) "0" ["keywords"]=> array(0) { } } } array(5) { ["width"]=> int(600) ["height"]=> int(381) ["file"]=> string(36) "2017/02/kaspersky-e1486725586812.jpg" ["sizes"]=> array(3) { ["thumbnail"]=> array(4) { ["file"]=> string(21) "kaspersky-150x150.jpg" ["width"]=> int(150) ["height"]=> int(150) ["mime-type"]=> string(10) "image/jpeg" } ["medium"]=> array(4) { ["file"]=> string(21) "kaspersky-300x190.jpg" ["width"]=> int(300) ["height"]=> int(190) ["mime-type"]=> string(10) "image/jpeg" } ["medium_large"]=> array(4) { ["file"]=> string(21) "kaspersky-768x487.jpg" ["width"]=> int(768) ["height"]=> int(487) ["mime-type"]=> string(10) "image/jpeg" } } ["image_meta"]=> array(12) { ["aperture"]=> string(1) "0" ["credit"]=> string(0) "" ["camera"]=> string(0) "" ["caption"]=> string(0) "" ["created_timestamp"]=> string(1) "0" ["copyright"]=> string(0) "" ["focal_length"]=> string(1) "0" ["iso"]=> string(1) "0" ["shutter_speed"]=> string(1) "0" ["title"]=> string(0) "" ["orientation"]=> string(1) "0" ["keywords"]=> array(0) { } } } array(0) { }
news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Fue allá por el año 2011 cuando los analistas de seguridad se vieron sorprendidos por un nuevo tipo de malware que usaba sofisticadas técnicas de infección. Fue el derivado de Stuxnet más célebre y le llamaron Duqu. Al igual que Stuxnet, su complejidad y la forma modular en que se había diseñado llevó a la conclusión, que nunca se confirmó oficialmente, de que su desarrollo requería las capacidades de un país tecnológicamente avanzado, y que no podía ser obra de un grupo de delincuentes que no contasen con ese soporte.

Duqu desapareció en 2012, pero en 2015 Kaspersky se encontró de lleno con Duqu 2.0. Y se encontró de lleno porque varios de los propios sistemas internos de Kaspersky habían sido infectados con esta variante del malware.

https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Duqu 2.0 utilizaba varias vulnerabilidades zero-day, pero una de sus principales características es que no escribía ni modificaba archivos en los discos de las víctimas. Es lo que pasó a llamarse fileless malware, es decir, un malware que reside completamente en memoria y no deja rastro en ningún archivo. Esta capacidad hace que el malware pueda permanecer sin ser detectado durante meses.

Hasta hace poco, este nivel de sofisticación sólo estaba al alcance de grupos organizados y financiados por gobiernos y formaba parte de su arsenal de ciberguerra contra otras naciones. Sin embargo, en los últimos días las mismas técnicas de diseño “únicamente en memoria” han sido encontradas por Kaspersky en malware que infecta las redes de, al menos, 140 bancos y otras empresas en 40 países. Podrían ser más víctimas debido a la dificultad de detectar estas infecciones.

De hecho, la detección se hace aún más difícil porque para la inyección del malware en la memoria se están utilizando herramientas legítimas habitualmente usadas en la administración de sistemas, como Powershell, netsh, mimikatz o Metasploit.

La primera infección detectada fue un controlador de dominio en un banco que albergaba en su memoria una copia de Meterpreter, viejo conocido para los que nos gusta la seguridad informática.

Según Kaspersky, el objetivo principal de este malware son los ordenadores que ejecutan las aplicaciones para los cajeros automáticos y los atacantes se acercan a ellos para llevarse el dinero.

La próxima semana tendremos más detalles sobre este tipo de malware.