Han pasado más de 10 años desde un artículo titulado «The attack of the superworms» en el que, en 2002, se pronosticaba hacia dónde podía ir el malware y cuáles serían las características del código malicioso de hoy. ¿Acertaron?
George Bakos, del Institute for Security Technology Studies en la Universidad de Dartmouth en Hanover, decía:
«Los gusanos híbridos serán cada vez más comunes. Atacarán múltiples vulnerabilidades quizás en múltiples sistemas operativos. Establecerán un canal de comunicación con el controlador. También serán polimórficos para ocultar su presencia«.
 |
| George Bakos |
Bakos no iba desencaminado. Si bien hoy no son los propios gusanos los que atacan múltiples vulnerabilidades, sí que los kits de exploits son la norma. Estos alojan varias vulnerabilidades e intentan explotarlas según el perfil que les visita. Igualmente, si en vez de «sistema operativo» hablamos de «navegador«, estos exploits están preparados para atacar a los más populares y sus plugins. A lo que no se ha llegado aún es la «equidad» en cantidad de malware para diferentes plataformas o al multiplataforma. Sigue ganando Windows por goleada, aunque existe un repunte importante en el malware para Android. Sobre el poliformismo, en esto quizás jamás podían imaginar hasta dónde se ha llegado. Ya no es solo que el malware «mute» sino que se crean prácticamente ficheros únicos para cada víctima, haciendo imposible además que funcione en otro sistema que no sea en el que se ha creado en primera instancia. Por supuesto, acertó de lleno con el canal de comunicación con el controlador (aunque esto ya se hacía entonces).
Dan Woolley, de SilentRunner,hablaba en 2002 de los «gusanos durmientes«:
«Infectarán un sistema pero no atacará automáticamente sino que esperará una señal, que podría ser una fecha y hora predeterminada o la llegada de un cierto correo o por ejemplo la decimoséptima vez que el usuario se presenta en el sistema«.
Esta afirmación es extraña. Esporádicamente han aparecido ejemplares que esperaban una fecha para su activación, pero no han pasado de la anécdota. No es práctico para ellos esperar a un momento determinado puesto que corren el riesgo de que se les descubra. Lo que sí ocurre actualmente es que el malware bancario no se activa hasta que lo necesita, o sea, cuando el usuario se presenta en su página de banca electrónica. Aunque existen troyanos bancarios que, nada más ser lanzados, muestran una pantalla al usuario pidiendo las contraseñas, los más sofisticados esperan pacientemente a que la víctima ingrese en su banco y es ahí cuando se activan. Esto es mucho más realista y reporta mejores beneficios. Sí es cierto que también se ha convertido en habitual que el malware no funcione cuando se cree «estudiado«. Por ejemplo evitan las máquinas virtuales, lanzarse más de una vez desde una máquina con la misma IP, o esperan al siguiente reinicio para eludir los análisis automáticos. Woolley continúa:
«El gusano espera y resucita hasta que pienses que has limpiado tu sistema, sin que tengas ni idea de que están ahí. Los gusanos pueden ser muy silenciosos y pueden ocultarse en un fichero que ni siquiera sabes que existe. No es algo que cualquier script kiddie vaya a hacer. Es muy sofisticado«
El malware actual, desde hace años, no va asociado a archivos sino que son ficheros en sí mismos (DLL, drivers, ejecutables…). Y tampoco se ocultan más de lo necesario, puesto que no han encontrado un enemigo a la altura al que tener miedo (esto es, no temen demasiado a los antivirus). Si el «pueden ser muy silenciosos» significa que burlarían fácilmente la detección en el sistema… acertó de pleno. Lo cierto es que también estamos viviendo un resurgimiento del malware que infecta al MBR y efectivamente, eso los hace muy silenciosos y es una zona que muchos usuarios «ni siquiera saben que existe«.
Veremos otras afirmaciones y las conclusiones en la siguiente entrega.
Más información:
Coming Soon: Attack Of The Super Worms
Sergio de los Santos
Twitter: @ssantosv
Deja un comentario