Análisis de malware

BabaYaga y el auge del malware que destruye malware

julio 4, por Daniel Dimov

1. Introducción

El equipo que trabaja detrás de Wordfence (un complemento de seguridad para sitios web de WordPress) descubrió un nuevo tipo de malware llamado BabaYaga. Lleva el nombre de una criatura mítica eslava y parece haber sido creado por hackers rusos.

Una característica importante de BabaYaga es que es un malware que se actualiza automáticamente. Más específicamente, accede a una URL en un servidor de comando y control y descarga la última versión de sí mismo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

BabaYaga puede infectar sitios web de WordPress, Joomla, Drupal y PHP genérico. El malware publica contenido spam en los sitios web infectados. Una vez que una persona visita un sitio web infectado, será redirigida a sitios web afiliados mediante un código JavaScript incrustado. Es importante señalar que el malware puede instalar y actualizar WordPress para garantizar que los sitios web afiliados sean completamente funcionales. En caso de que un usuario compre productos o servicios de los sitios web afiliados, los creadores de BabaYaga recibirán comisiones por referencia.

Lo que diferencia a BabaYaga de otros tipos de malware es su funcionalidad antivirus. A continuación, examinamos en detalle esta funcionalidad innovadora (consulte la Sección 2) y analizamos el impacto que puede tener en el campo del malware (consulte la Sección 3). Finalmente, proporcionamos comentarios finales (ver Sección 4).

2. Funcionalidad antivirus de BabaYaga

BabaYaga comprueba los archivos de destino en busca de malware existente y, si contienen malware, reemplaza los archivos infectados con versiones no infectadas. Además, BabaYaga busca archivos llamados «index.html», «index.htm» o «index.asp» que contengan el texto «hackeado». Si BabaYaga encuentra alguno de estos, los eliminará. La razón para eliminar dichos archivos es que generalmente son páginas desfiguradas que revelarán la presencia de BabaYaga.

La funcionalidad antivirus de BabaYaga permite que el malware prospere en sistemas informáticos infectados con otros virus. Abre un nuevo paradigma en el campo del malware, es decir, un cambio de (i) malware que apunta principalmente a proliferar a (ii) malware que apunta a proliferar y garantizar el mejor entorno para su operación.

3. El impacto que puede tener BabaYaga en el campo del malware

Considerando el ejemplo de BabaYaga, podemos esperar la aparición de más malware con funcionalidad antivirus. A su vez, esto probablemente generará competencia entre los creadores de malware, lo que resultará en tipos de malware más sofisticados basados ​​en dos componentes principales, a saber, un componente de proliferación y un componente antimalware.

Si bien no hay nada nuevo en el funcionamiento del componente de proliferación, es probable que seamos testigos de avances significativos en el componente antimalware. Por ejemplo, el componente antimalware puede desarrollarse a partir de (i) un componente destinado a eliminar otro malware también (ii) un componente destinado a neutralizar y utilizar otro malware. A modo de ejemplo, mientras BabaYaga simplemente elimina cierto malware de las computadoras infectadas, una versión futura de BabaYaga puede inyectarse a sí mismo para competir por el malware y neutralizar su impacto en el sistema infectado sin afectar la capacidad de propagación del malware competidor. Así, al propagarse, el malware competidor difundirá la nueva versión de BabaYaga. Cabe mencionar que incluso algunos virus biológicos pueden afectar a otros virus. Por ejemplo,

El malware informático que, de manera similar al Sputnik, explota otro malware con fines maliciosos puede ser particularmente peligroso si incluye características de inteligencia artificial (especialmente aprendizaje automático) que le permitan identificar tipos de malware competidores y «aprender» de sus funcionalidades. Este tipo de malware agregará constantemente nuevas funcionalidades a su arsenal malicioso y, al mismo tiempo, neutralizará a sus competidores.

4. Conclusión

Este artículo ha indicado claramente que BabaYaga es una nueva y peligrosa aplicación de malware que sienta las bases de una categoría completamente nueva de malware, es decir, malware que destruye malware. Un documento técnico publicado por Wordfence describe sucintamente el funcionamiento de este nuevo tipo de malware de la siguiente manera: » BabaYaga es una amenaza emergente que es más sofisticada que la mayoría del malware. Infecta profundamente un sitio, se propaga a otros sitios y garantiza que el sitio infectado sea en buen estado de funcionamiento e incluso eliminará otro malware. Incluso tiene la capacidad de actualizar o reinstalar WordPress.»

Para detectar si BabaYaga está instalado en una computadora, se pueden iniciar dos pasos. Primero, debe verificar si la computadora se está comunicando con uno de estos hosts: 7od.info (178.132.0.105) y my.wpssi.com (89.38.98.31). En segundo lugar, puede utilizar las reglas de escaneo compatibles con YARA proporcionadas por Wordfence en su documento técnico sobre BabaYaga. El documento técnico se puede encontrar en las referencias siguientes. Las reglas son compatibles con el motor antivirus de código abierto e Clapman.

Al eliminar BabaYaga de su ordenador, el usuario no sólo elimina una peligrosa aplicación de malware sino que también contribuye a la lucha contra el spam. Vale la pena recordar que el objetivo de BabaYaga es mostrar spam en sitios web infectados. Según el Journal of Economic Perspectives, los spammers obtienen000 millones de dólares al año de actividades relacionadas con el spam, y los usuarios de Internet gastan00 millones de dólares al año en la gestión de mensajes de spam.

Referencias

1. Brunton, F., ‘Spam: una historia oscura de Internet’, MIT Press,.

2. Calic, A., ‘BabaYaga Malware’, informationsecuritybuzz.com , 14 de junio de. Disponible en https://www.informationsecuritybuzz.com/expert-comments/babayaga-malware/ .

3. Dalziel, H., ‘Cómo derrotar el malware avanzado: nuevas herramientas de protección y análisis forense’, Syngress,.

4. Haas, B., ‘BabaYaga – The Self Healing WordPress Malware’, Wordfence , 5 de junio de. Disponible en https://www.wordfence.com/wp-content/uploads//06/Wordfence-BabaYaga -WhitePaper.pdf .

5. Holt, T., Bossler, A., Seigfried-Spellar, K., ‘ Cibercrimen y análisis forense digital: una introducción ‘, Routledge,.

6. Saxe, J., Sanders, H., ‘ Ciencia de datos de malware: detección y atribución de ataques ‘, No Starch Press, Incorporated..

7. Sikorski, M., Honig, A., ‘Análisis práctico de malware: la guía práctica para diseccionar software malicioso’, No Starch Press,.

8. Smith, J. ‘Nuevo malware infecta sitios web de WordPress y redirige el tráfico a páginas que comprenden enlaces de afiliados’, I ndivigital , 11 de junio de. Disponible en https://indivigital.com/news/new-malware-infects-wordpress -sitios-web-y-redirecciones-tráfico-a-páginas-que-comprenden-enlaces-de-afiliados/ .

9. Wagner, K., ‘Todo el spam del mundo generamillones de dólares y nos cuestail millones de dólares’, Gizmodo , 7 de agosto de. Disponible en https://gizmodo.com/5932594/[object%ject ] .

10. Yong, E., ‘The virophage – a virus that infects other virus’, ScienceBlogs , 7 de agosto de. Disponible en http://scienceblogs.com/notrocketscience//08/07/the-virophage- un-virus-que-infecta-otros-virus/ .

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Coautor

Rasa Juzenaite trabaja como directora de proyectos en Dimov Internet Law Consulting (www.dimov.pro), una consultoría jurídica con sede en Bélgica. Tiene experiencia en cultura digital con enfoque en humanidades digitales, redes sociales y digitalización. Actualmente, está cursando una Maestría avanzada en Derecho de Propiedad Intelectual y TIC.