La seguridad de los sistemas operativos mejora. Las herramientas de seguridad también progresan. Por este motivo, los ciberdelincuentes
se ven obligados a mejorar sus amenazas, evitando que sean detectadas y
pasen mucho más tiempo desapercibidas tras su llegada al equipo. Este
es el caso de GZipDe, un virus que ofusca el código de su servicio para no ser detectado mientras se está ejecutando.
Los expertos en seguridad de diferentes empresas
coinciden en que se trata de una operación de espionaje a gran escala.
Está centrada a afectar a equipos que cuentan con un sistema operativo
perteneciente a la familia Windows. Indican que, desde Windows 7, cualquiera puede verse afectado, incluso las versiones destinadas a ejecutarse en servidores.
Sin embargo, GZipDe cuenta con algunas peculiaridades dignas de
mencionar. Y es que, tal y como ya hemos indicado, los ciberdelincuentes
deben introducir mejoras en sus amenazas para evitar que estas sean
detectadas por las herramientas de seguridad.
Se trata de una carrera que, podríamos decir, las amenazas siempre llevan la delantera.
Desde VirtusTotal se ha buscado ofrecer más información. Sin embargo, ha sido imposible. Interesaba sobre todo saber cuál es el origen, algo que, por el momento, será información desconocida.
GZipDe se distribuye a través de un .doc
Lo que sí se conoce es la vía de difusión de esta amenaza. Tal y como
se ha utilizado en otras ocasiones, se trata de un documento
perteneciente a la suite de ofimática Microsoft Word.
Para ser más precisos, este documento cuenta con un script en Visual
que será el encargado de contactar con un servidor y realizar la
descarga del ejecutable de la amenaza. La dirección del servidor del que se realiza la descarga está hardcodeada, siendo 118.193.251.137.
Pero lo dicho hasta el momento podríamos decir que no es del todo
cierto. Para ser más precisos, el ejecutable descargado y programado
utilizando C# se trata de un intermediario que será el encargado de
desplegar GZipDe en el equipo Windows infectado. Sin embargo, cuenta con
otras funciones.
La amenaza propiamente dicha está programada utilizando el lenguaje de programación .NET.
Además, se vale de un proceso de cifrado que se considera complejo.
Esto permite ofuscar la información almacenada en memoria y evitar que
el proceso asociado a la amenaza sea detectado por las herramientas de
seguridad.
GZipDe o cómo descargar más amenazas en el equipo infectado
Aunque podríamos decir que estamos ante un virus común, con unas
funciones determinadas centradas en el robo de información o
monitorización de la actividad del equipo, la realidad es muy diferente.
Para ser más precisos, su actividad se limita a conectar con un
servidor remoto del que también se ha sabido cuál es su dirección IP
(175.194.42.8).
Los expertos en seguridad indican que, la amenaza distribuida
posteriormente se trata de una puerta trasera para realizar el control
remoto del equipo infectado. Para ser más precisos, hablamos de un
software que está basado en Metasploit. Para todos
aquellos que no lo conozcan, se trata de un utilidad que permite a
empresas de seguridad realizar test de penetración en equipos.
Por el momento, tal y como se ha indicado, GZipDe se trata de un
software que resulta complicado de detectar por herramientas de
seguridad. Teniendo en cuenta que se sabe cuál es la vía de
distribución, lo mejor es extremar las precauciones a la hora de
realizar la apertura de documentos de remitentes de correos electrónicos
desconocidos.
Seguir en twitter: @disoftin
Fuente: https://www.redeszone.net/
0 Comentarios