Análisis de malware

Malware Nworm: qué es, cómo funciona y cómo prevenirlo | Destacado malware

11 de noviembre de por Chris Sienko

Introducción

En abril de, los creadores del malware TrickBot lanzaron un módulo para TrickBot llamado Nworm. TrickBot es un troyano bancario dirigido a máquinas con Windows. Fue desarrollado en y su creación se inspiró en otro troyano bancario llamado Dyreza. TrickBot tiene la capacidad de apuntar a una amplia gama de bancos internacionales a través de webinjects. También puede robar bitcoins de billeteras bitcoin.

TrickBot viene junto con módulos. Cada uno de ellos es responsable de la realización de actividades maliciosas específicas. Por ejemplo, algunos módulos son responsables de la propagación, otros del cifrado de información robada o del robo de credenciales.

En este artículo, describiremos el funcionamiento de un módulo en particular, Nworm. También brindamos recomendaciones sobre cómo prevenir una infección con un TrickBot cargado con Nworm.

El funcionamiento de Nworm

Nworm evolucionó y reemplazó a Mworm, un módulo que transfiere una versión no cifrada del ejecutable TrickBot a un controlador de nombre de dominio vulnerable. Dado que el ejecutable no estaba cifrado, las aplicaciones de software antimalware pudieron detectar y eliminar fácilmente Mworm una vez que se copió en la computadora de destino. Los creadores de TrickBot decidieron «mejorar» Mworm para que sea más difícil de detectar. La nueva versión de Mworm pasó a ser conocida como Nworm.

Nworm transfiere una versión cifrada del ejecutable de TrickBot. Además, el malware se ejecuta y opera desde la memoria; por tanto, Nworm no deja rastros que puedan utilizarse para su detección. Sin embargo, TrickBot no puede sobrevivir a un reinicio del sistema infectado, ya que dicho reinicio normalmente elimina la mayor parte de la información almacenada en la memoria del ordenador.

El tráfico HTTP para los EXE de TrickBot de seguimiento es diferente del tráfico causado por Mworm. Más específicamente, la URL relacionada con Mworm para TrickBot EXE termina en /images/redcar.png, mientras que la URL relacionada con Nworm para TrickBot EXE termina con /ico/VidT6cErs. En lo que respecta a Mworm, el siguiente TrickBot EXE se devuelve sin cifrar en el tráfico HTTP. Este no es el caso de Nworm, donde el siguiente TrickBot EXE regresa como un binario cifrado o codificado de otro modo en el tráfico HTTP.

Los «síntomas» de una infección con un TrickBot cargado con Nworm pueden incluir la ralentización del funcionamiento del navegador web, la aparición de ciertas tareas desconocidas en el administrador de tareas del ordenador y la conexión a hosts remotos sin el contenido del dispositivo correspondiente.

Prevención de la infección con un TrickBot cargado con Nworm

La prevención de un TrickBot cargado con Nworm debe incluir al menos tres componentes: a saber, actualizar el sistema operativo Microsoft Windows, instalar antimalware actualizado y utilizar plataformas de prevención de amenazas. Estos tres componentes se examinarán con más detalle a continuación.

Actualización de Microsoft Windows

Los desarrolladores de Microsoft identifican constantemente problemas de seguridad relacionados con Microsoft Windows y desarrollan soluciones para dichos problemas de seguridad. Las correcciones están disponibles para los usuarios de Windows a través de la función «Actualización de Windows».

Microsoft identificó rápidamente TrickBot y los módulos relacionados y los incluyó en la lista de malware de Microsoft Defender Antivirus (MDA). Para garantizar que MDA detecte un TrickBot cargado con Nworm, es mejor abrir la «Configuración de protección contra virus y amenazas» e iniciar las siguientes funcionalidades: protección entregada en la nube y envío automático de muestras.

Instalación de antimalware actualizado

Aunque MDA proporciona una buena protección contra software malicioso, la instalación de programas antimalware adicionales puede aumentar las posibilidades de detectar un TrickBot cargado con Nworm. Por ejemplo, la plataforma Palo Alto Threat Prevention tiene la capacidad de escanear “todo el tráfico (aplicaciones, usuarios y contenido) en todos los puertos y protocolos” y detectar la presencia de Nworm. Realiza comprobaciones antimalware automáticas y bloquea automáticamente el malware conocido.

Uso de plataformas de prevención de amenazas

Las plataformas de prevención de amenazas recopilan inteligencia relacionada con la seguridad de la información de todo el mundo y brindan a sus usuarios la oportunidad de tomar medidas contra nuevas amenazas antes de verse afectados por ellas.

Teniendo en cuenta la transformación de Mworm en Nworm, podemos esperar un nuevo módulo llamado “Oworm”. Los usuarios de plataformas de prevención de amenazas podrán conocer la existencia de Oworm antes de verse afectados por él, aumentando así sus posibilidades de tomar medidas preventivas de seguridad de la información. En el ámbito de la ciberseguridad, normalmente es mejor prevenir que remediar.

La plataforma de prevención de amenazas AutoFocus desarrollada por investigadores de seguridad de la información de Palo Alto Networks permite a sus usuarios rastrear las actividades de TrickBot mediante el uso de una «etiqueta de TrickBot». Por tanto, es una poderosa herramienta para la prevención de infecciones por TrickBot.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Conclusión

La naturaleza modular de TrickBot le permite evolucionar rápidamente hacia una versión más sigilosa. Mientras Mworm propagaba su carga maliciosa de forma no cifrada en el disco duro de la computadora infectada, Nworm entrega una versión cifrada del ejecutable TrickBot en la memoria de la computadora infectada. Por tanto, teniendo en cuenta la “invisibilidad” de este tipo de malware, es necesario tomar medidas preventivas especiales al respecto. En este artículo propusimos tres medidas de este tipo que, si se aplican correctamente, reducirán en gran medida la probabilidad de infección.

Si no se toman medidas y se produce una infección con TrickBot, esto puede tener un impacto tremendo en el banco afectado. En un artículo titulado “Monederos inteligentes en Blockchain: los ataques y sus costos”, tres investigadores de seguridad de la información estimaron que el daño puede oscilar entre 100 millones y 10 mil millones de dólares.

Fuentes

Nworm: el nuevo módulo sigiloso de propagación de malware de TrickBot gang , BleepingComputer

Adiós Mworm, Hola Nworm: Módulo de propagación de actualizaciones de TrickBot , Unidad 42

Trojan.TrickBot , Malwarebytes Labs

Win32/Trickbot , Microsoft

Las operaciones del mañana dependen de una inteligencia sobre amenazas inigualable, hoy , PaloAlto Networks

Pillai, A., Saraswat, V., Arunkumar, VR, “Smart Wallets on Blockchain – Attacks and Their Costs”, Ciudad inteligente e informatización: 7.ª conferencia internacional, noviembre de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *