Descubre esta amenaza que es indetectable por los antivirus de Windows - Seguridad de la información

Breaking

Webs Amigas

sábado, 23 de junio de 2018

Descubre esta amenaza que es indetectable por los antivirus de Windows


La seguridad de los sistemas operativos mejora. Las herramientas de seguridad también progresan. Por este motivo, los ciberdelincuentes se ven obligados a mejorar sus amenazas, evitando que sean detectadas y pasen mucho más tiempo desapercibidas tras su llegada al equipo. Este es el caso de GZipDe, un virus que ofusca el código de su servicio para no ser detectado mientras se está ejecutando.

Los expertos en seguridad de diferentes empresas coinciden en que se trata de una operación de espionaje a gran escala. Está centrada a afectar a equipos que cuentan con un sistema operativo perteneciente a la familia Windows. Indican que, desde Windows 7, cualquiera puede verse afectado, incluso las versiones destinadas a ejecutarse en servidores.

Sin embargo, GZipDe cuenta con algunas peculiaridades dignas de mencionar. Y es que, tal y como ya hemos indicado, los ciberdelincuentes deben introducir mejoras en sus amenazas para evitar que estas sean detectadas por las herramientas de seguridad.

Se trata de una carrera que, podríamos decir, las amenazas siempre llevan la delantera.

Desde VirtusTotal se ha buscado ofrecer más información. Sin embargo, ha sido imposible. Interesaba sobre todo saber cuál es el origen, algo que, por el momento, será información desconocida.

GZipDe se distribuye a través de un .doc

Lo que sí se conoce es la vía de difusión de esta amenaza. Tal y como se ha utilizado en otras ocasiones, se trata de un documento perteneciente a la suite de ofimática Microsoft Word.

Para ser más precisos, este documento cuenta con un script en Visual que será el encargado de contactar con un servidor y realizar la descarga del ejecutable de la amenaza. La dirección del servidor del que se realiza la descarga está hardcodeada, siendo 118.193.251.137.

Pero lo dicho hasta el momento podríamos decir que no es del todo cierto. Para ser más precisos, el ejecutable descargado y programado utilizando C# se trata de un intermediario que será el encargado de desplegar GZipDe en el equipo Windows infectado. Sin embargo, cuenta con otras funciones.

La amenaza propiamente dicha está programada utilizando el lenguaje de programación .NET. Además, se vale de un proceso de cifrado que se considera complejo. Esto permite ofuscar la información almacenada en memoria y evitar que el proceso asociado a la amenaza sea detectado por las herramientas de seguridad.

GZipDe o cómo descargar más amenazas en el equipo infectado

Aunque podríamos decir que estamos ante un virus común, con unas funciones determinadas centradas en el robo de información o monitorización de la actividad del equipo, la realidad es muy diferente. Para ser más precisos, su actividad se limita a conectar con un servidor remoto del que también se ha sabido cuál es su dirección IP (175.194.42.8).

Los expertos en seguridad indican que, la amenaza distribuida posteriormente se trata de una puerta trasera para realizar el control remoto del equipo infectado. Para ser más precisos, hablamos de un software que está basado en Metasploit. Para todos aquellos que no lo conozcan, se trata de un utilidad que permite a empresas de seguridad realizar test de penetración en equipos.

Por el momento, tal y como se ha indicado, GZipDe se trata de un software que resulta complicado de detectar por herramientas de seguridad. Teniendo en cuenta que se sabe cuál es la vía de distribución, lo mejor es extremar las precauciones a la hora de realizar la apertura de documentos de remitentes de correos electrónicos desconocidos.

Seguir en twitter: @disoftin


No hay comentarios:

Publicar un comentario