Análisis de malware

Destacado malware: cuentagotas

30 de enero de por Greg Belding

Hay una nube de confusión en torno a los goteros. A menudo vistos como una especie de programa auxiliar en un ciberataque, los droppers son en realidad un tipo de malware que desempeña un papel instrumental. Debe considerarse un tipo propio de malware porque es responsable de una serie de acciones maliciosas.

Este artículo explorará el tipo de malware con cuentagotas y examinará qué son los cuentagotas, cómo se propagan, cómo funcionan, los cuentagotas persistentes versus los no persistentes, los peligros de los dispositivos de bajo costo y otra información valiosa que le dará una mejor idea de este malentendido. malware.

¿Qué es un gotero?

Los droppers son un tipo de troyano y son tan distintos que son su propia raza. Su propósito característico es instalar otro malware una vez que están presentes en un sistema. De hecho, se les llama droppers porque colocan malware y componentes de malware en un sistema comprometido. Esta actividad es lo que le ha valido a los dropers el apodo de “el malware que precipita el malware”.

Para evitar mejor la detección, los droppers normalmente no guardan en el disco en un sistema comprometido. En cambio, los droppers suelen eliminarse a sí mismos una vez que se ha cumplido su propósito. A menudo realizan diferentes acciones para lograr el objetivo de ataque.

Cómo se propagan los goteros

Los goteros se pueden esparcir de muchas maneras. Algunos son obvios y fáciles de evitar, como, por ejemplo, un archivo adjunto en correos electrónicos no deseados. Otros métodos de propagación de droppers, como las descargas no autorizadas, son bastante sigilosos e invitan a los droppers a ingresar a un sistema simplemente visitando un sitio web infectado.

Las formas más comunes de propagación de los goteros incluyen:

• Visitar sitios web maliciosos
• Hacer clic en enlaces maliciosos
• Archivos adjuntos de correo electrónico no deseado
• Insertar medios extraíbles infectados
• Usando un proxy de Internet infectado
• Descarga de software gratuito infectado

Los droppers también pueden ser propagados por aplicaciones infectadas, incluso la aplicación aparentemente legítima y ampliamente utilizada que descargaste anoche. Los investigadores descubrieron recientemente que CamScanner, una popular aplicación de Android con más de 100 millones de descargas, ha tenido un cuentagotas escondido durante algún tiempo.

¿Cómo funcionan los goteros?

No hay dos goteros iguales. Algunos droppers funcionan como programas independientes y otros son parte de un paquete de malware mayor, a menudo como parte de una familia de malware que ofrece un enfoque integral para los ciberataques.

A pesar de esta diversidad de formas y funciones, la mayoría de los goteros tienen las siguientes habilidades en común.

Instalador

Esta primera habilidad que tienen en común los droppers es la del instalador. Los droppers descargarán malware (o sus componentes), descomprimirán el malware o los módulos y luego los instalarán. Esta actividad no causa daño al sistema per se, pero conel malware que causa este daño. Si el malware fuera juzgado en un tribunal de justicia, los droppers serían, en el mejor de los casos, cómplices y, en el peor, cómplices.

Evitar la detección

La segunda habilidad que tienen casi todos los cuentagotas es la capacidad de evitar ser detectados. Nada frustraría más una campaña de ataque que conseguir una proverbial cabeza de puente en un sistema infectado sólo para ser detectado una vez que el dropper comienza a descargar e instalar malware.

Una forma en que los droppers pueden evitar la detección es crear mucho ruido alrededor de un módulo malicioso que intenta esconderse de la detección. Este ruido se puede crear descargando y descomprimiendo archivos inofensivos y no relacionados.

Comportamiento común del gotero

Aparte de las capacidades enumeradas anteriormente, se ha observado que los droppers exhiben el siguiente comportamiento que los diferencia de otros tipos de malware.

• Buscar controles de seguridad disponibles, incluidos firewalls, antimalware/antivirus, IPS, etc.
• Se conecta a sitios web desconocidos y sospechosos
• Intenta anonimizar u ocultar conexiones con sitios
• Se conecta a sitios en lugares extraños, incluidas partes del mundo conocidas por una actividad de actores de amenazas superior a lo normal.
• Descarga otros archivos y programas, especialmente aquellos que son maliciosos.
• Ejecuta archivos y programas desconocidos o anómalos.
• Eliminación de sí mismo después de realizar las acciones anteriores

Goteros no persistentes versus persistentes

Al escribir un artículo, normalmente incluirías lo afirmativo antes de lo negativo. En esta situación, sin embargo, el encabezado anterior es bastante apropiado. Hay un mundo de diferencia entre estos dos tipos de goteros, suficiente para hacer que uno no sea más que una molestia y el otro una absoluta pesadilla.

Los goteros no persistentes son el tipo más común de goteros y los menos dañinos. Una vez que se elimina su carga útil de malware, simplemente se eliminan y nunca vuelven a aparecer. Este es el tipo que les ha ganado a los cuentagotas su reputación de servomecanismo.

Los droppers persistentes son mucho más peligrosos y son lo que los califica para ser considerados su propio malware. Con este tipo, el dropper se adjunta a algún archivo aleatorio oculto y crea claves de registro en lugar de eliminarse. Estas claves de registro se utilizan para ejecutar el sistema comprometido después de reiniciarlo, de modo que el malware o los módulos maliciosos se puedan descargar nuevamente. Esto hace que la eliminación sea mucho más difícil porque tanto el archivo oculto como las claves creadas deben encontrarse y eliminarse para eliminar el cuentagotas.

El peligro de los dispositivos de bajo coste

Nada en la vida es gratis (o, a veces, incluso barato). ¿Recuerda ese teléfono Android de otra marca que compró para usarlo como dispositivo de prueba (o tableta portátil)? Lo más probable es que esté infectado con uno o diez goteros.

Resulta que se encontró que el mismo cuentagotas de la aplicación CamScanner estaba en más de 100 dispositivos Android de bajo costo. Esto significa que, a menos que pueda encontrar y eliminar este cuentagotas, su dispositivo Android de bajo costo puede estar descargando e instalando módulos maliciosos en su teléfono durante todo el día.

Conclusión

Los droppers son un tipo de malware muy conocido que existe desde los primeros días de los troyanos. Descargan, descomprimen e instalan malware en un sistema comprometido solo para profundizar en el sistema comprometido adjuntándolo a un archivo oculto o eliminándolo.

Los investigadores de malware a veces clasifican a los droppers como simplemente una parte de los troyanos. Pero cuando se tiene en cuenta su importancia en las campañas de ataque y su naturaleza independiente de los droppers persistentes, los droppers deberían considerarse como un tipo propio de malware.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

• Malware troyano-dropper , Weborion
• Droppers: malware que precipita malware , Lastline
• Gotero , TechTarget
• Malware Trojan Dropper encontrado en una aplicación de Android con 100 millones de descargas , Bleeping Computer
• Gotero troyano , Malwarebytes