Análisis de malware
Malware Starslord 2.0: qué es, cómo funciona y cómo prevenirlo | Destacado malware
7 de mayo de por Daniel Dimov
Introducción
El malware sLoad se descubrió por primera vez en. Entrega varios troyanos a las computadoras infectadas, incluidos, entre otros, los troyanos bancarios Ramnit, Gootkit y Ursnif.
Una de las características más importantes de sLoad es su capacidad para recopilar información sobre las computadoras infectadas antes de entregar su carga maliciosa. Por ejemplo, sLoad puede recopilar información sobre los procesos que se ejecutan en las máquinas infectadas, la existencia de archivos relacionados con Citrix y la existencia de Outlook.
En enero de, Microsoft publicó un artículo informando al público en general sobre una nueva versión de sLoad. Microsoft llamó a la nueva versión Starslord 2.0. Además de las funcionalidades básicas de sLoad, esta versión avanzada incluye nuevas características que lo hacen más peligroso que su predecesor.
De manera similar a sLoad, el funcionamiento de Starslord 2.0 se puede dividir en cuatro etapas: infectar sistemas Windows, recopilar información sobre los sistemas infectados, enviar toda la información recopilada a un servidor de comando y control y, a pedido de los creadores de malware, instalar programas específicos. malware en las computadoras infectadas.
El propósito de este artículo es examinar las nuevas características de Starslord 2.0 y brindar recomendaciones sobre cómo protegerse contra ellas.
Las nuevas características de Starslord 2.0
Starslord 2.0 se diferencia de sLoad en tres aspectos: tiene una nueva función de seguimiento que proporciona información sobre las etapas del proceso de infección, utiliza scripts WSF en lugar de scripts VB durante el proceso de infección e incluye una trampa antianálisis. Estas tres características se analizarán con más detalle a continuación.
Las funciones de seguimiento de Starslord 2.0 sólo pueden considerarse revolucionarias. Starslord 2.0 es el primer malware que tiene la capacidad de rastrear y agrupar máquinas infectadas según su etapa de infección. Al utilizar esta función, los operadores de Starslord 2.0 pueden personalizar los comandos que envían de acuerdo con la etapa de infección de las computadoras objetivo.
La trampa antianálisis incluida en Starslord 2.0 permite a los creadores de malware identificar los hosts de los investigadores de seguridad, crear perfiles de ellos y evitar enviar cargas maliciosas a esos hosts. El malware llama a esta función checkUniverse.
La funcionalidad de seguimiento de Starslord 2.0, combinada con la trampa antianálisis, hace de Starslord 2.0 una excelente herramienta para los estafadores que brindan servicios de malware de pago por instalación. En el contexto del malware, el término «pago por instalación» se refiere a recibir pagos por cada instalación exitosa de una aplicación de malware específica.
Protección contra Starslord 2.0
Dado que Starslord 2.0 está dirigido a sistemas Windows, las herramientas de seguridad de la información desarrolladas por Microsoft se pueden utilizar para prevenir una infección con Starslord 2.0. Por ejemplo, Microsoft Threat Protection tiene un buen potencial para proteger a las organizaciones de amenazas como Starslord 2.0. Microsoft Threat Protection correlaciona señales de seguridad de diferentes fuentes para mejorar la seguridad de la infraestructura, los puntos finales, las identidades, las aplicaciones en la nube y los datos de los usuarios.
Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), una plataforma creada con el objetivo de ayudar a las redes empresariales a identificar y abordar amenazas avanzadas, puede ser particularmente útil contra Starslord 2.0. Utiliza aprendizaje automático basado en el comportamiento para detectar y analizar secuencias de comportamiento de procesos sospechosos y técnicas de ataque avanzadas. El análisis se realiza en tiempo real a través de un servicio basado en la nube. Una vez que se completa el análisis (que suele tardar milisegundos), el servicio basado en la nube devuelve un veredicto a la computadora en la que se observó el comportamiento sospechoso y la computadora bloquea la amenaza.
Para ilustrar el funcionamiento de Microsoft Defender ATP, basta explicar cómo detuvo la propagación del malware Lokibot, una forma notoria de malware cuyo objetivo es robar información confidencial. El aprendizaje automático basado en el comportamiento de Microsoft Defender ATP logró identificar el comportamiento del malware Lokibot en dos etapas diferentes del ataque de malware.
La primera etapa fue cuando Microsoft Defender ATP notó el exploit. Inmediatamente después de detectar el ataque, Microsoft Defender ATP envió instrucciones a las computadoras infectadas, ordenándoles que bloquearan el ataque. La segunda etapa del ataque estuvo relacionada con los intentos de iniciar el proceso de vaciado. El término «vaciado de procesos» puede definirse como la carga de procesos legítimos en un sistema con el único objetivo de camuflar código malicioso. En los casos en que el ataque avanzó a la segunda etapa, Microsoft Defender ATP bloqueó el proceso para evitar un mayor desarrollo del ataque.
Conclusión
Starslord 2.0, una versión avanzada de sLoad, brinda a sus creadores la oportunidad de instalar malware y recibir pagos mediante pago por instalación. La subestimación de los riesgos que plantea Starslord 2.0 puede llevar a la instalación de varios troyanos bancarios en los ordenadores infectados. Estos troyanos intentan recopilar, sin autorización, credenciales de clientes de banca en línea. La trampa antianálisis incluida en el malware dificulta su detección por parte de los analistas de seguridad.
Las mejores medidas para identificar y evitar la infección con Starslord 2.0 deben incluir procesos complejos de aprendizaje automático basados en el comportamiento, como los utilizados por Microsoft Defender ATP.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Microsoft descubre nuevo malware sLoad 2.0 (Starslord) , ZDNet
- Guilmette, A., Zanre, M., Lee, Y., “Guía del examen Microsoft 365 Certified Fundamentals MS-900: consejos y técnicas de expertos para aprobar el examen de certificación MS-900 en el primer intento”, Packt Publishing Ltd,
- Kleymenov, A., Thabet, A., “Dominar el análisis de malware: la guía completa del analista de malware para combatir el software malicioso, APT, el cibercrimen y los ataques de IoT”, junio de, Packt Publishing Ltd.
- sLoad lanza la versión 2.0, Starslord , Microsoft
- Vuelve la banda de malware sLoad: Microsoft detecta rápidamente la versión 2.0 renovada , International Business Times
- Protección avanzada contra amenazas de Microsoft Defender , Microsoft
- Abordar el phishing con intercambio de señales y aprendizaje automático , Microsoft
- El descargador de troyanos bancarios sLoad muestra reconocimiento y orientación sofisticados , Threatpost
- Stewart, J., Chapple, M., Gibson, D., “ Guía de estudio oficial para profesionales certificados en seguridad de sistemas de información CISSP (ISC) 2 ”, John Wiley Sons, 11 de septiembre de