Los investigadores de Avast Threat Labs informan sobre el criptor OnionCrypter, que ha sido ampliamente utilizado por muchas familias de malware desde 2016, incluidos Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader. Ayuda a ocultar fragmentos de código maliciosos mediante cifrado para que sea más difícil de detectar y analizar.
Según la compañía, durante los últimos tres años, Avast ha protegido a casi 400,000 usuarios en todo el mundo del malware que usaba este cifrador. El siguiente diagrama muestra qué familias de malware que utilizan OnionCrypter ya han sido detectadas por Avast.
Los expertos escriben que la estructura del malware moderno es muy similar a la estructura de un automóvil: también consta de muchas partes. Solo en lugar del motor, las ruedas y el volante, dichos programas tienen un módulo de carga, carga útil y comando.
Uno de estos "detalles" es a menudo un cifrador, que ayuda a ocultar partes maliciosas del código mediante cifrado y, como resultado, el código puede parecer inofensivo a primera vista y será más difícil de leer. Para los desarrolladores de malware, cryptor es una herramienta importante para contrarrestar la protección. Al mismo tiempo, para los investigadores, la detección del cifrador hace que sea más rápido encontrar e identificar el nuevo malware que lo contiene.
El nombre OnionCrypter no tiene nada que ver con Tor (red o navegador) y es una referencia a una cebolla común: un criptor, como una cebolla, consta de muchas capas de cifrado que protegen la información de investigadores, antivirus y soluciones de seguridad. Son estas capas las que hacen que OnionCrypter sea tan inusual.
Como puede ver en la siguiente ilustración, la arquitectura de OnionCrypter es compleja y consta de tres capas. En el informe de la empresa, se dedica una sección separada y detallada a cada uno de ellos.
Teniendo en cuenta el tiempo de uso bastante largo y la prevalencia de OnionCrypter, los expertos han llegado a la conclusión de que los desarrolladores lo están vendiendo como un servicio. Además, los fabricantes de OnionCrypter parecen estar ofreciendo a los compradores un ajuste personalizado para que sea aún menos notorio. En los anuncios de los foros de piratas informáticos, a menudo se hace referencia a OnionCrypter como "completamente invisible".
Ahora, la información obtenida por los investigadores de Avast simplificará enormemente la tarea de detectar OnionCrypter y cualquier malware que lo utilice.
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios