El malware ahora detecta si está siendo analizado

En este artículo nos hacemos eco de una noticia que informa sobre cómo los desarrolladores de malware ahora comprueba si se está ejecutando en el servicio de análisis Any.Run.

Publicado Julio 21, 2020 en Atlantic Pacific



Con el objetivo de mejorar sus ataques, de evitar ser detectados por todos los medios, los piratas informáticos ahora han buscado la manera de conocer si su malware está siendo analizado. Una manera más de evitar las herramientas de seguridad.

Any.Run es un servicio de sandbox de análisis de malware que permite a los investigadores y usuarios analizar malware de manera segura sin riesgo para sus equipos. Esta herramienta recibe un archivo que puede ser un problema de seguridad y lo analiza aislado en una máquina virtual de Windows. Es allí donde ejecuta ese archivo que, en caso de ser malicioso, no va a poner en riesgo la seguridad de ese equipo.

Los investigadores usan este tipo de herramientas para analizar una posible amenaza. Comprueban cómo actúa. Any.Run registra la actividad de red, actividad de archivos y cambios en el registro

Esto es lo que quieren evitar los piratas informáticos ahora. Ha sido detectado en una nueva campaña de un troyano que roba contraseñas descubierta por el investigador de seguridad JAMESWT. Los scripts maliciosos de PowerShell se descargan e instalan en el equipo.

En este caso, cuando ejecuta la secuencia de comandos, descarga dos secuencias de PowerShell en el equipo de la víctima, donde viene incrustado el malware. El script decodifica el malware y lo ejecuta en el sistema. Al ejecutarse el segundo script intenta iniciar lo que sería el troyano que roba contraseñas Azolrult. Sin embargo si detecta que ese software se está ejecutando en Any.Run mostrará un mensaje de alerta y ese malware no se ejecuta. No podría ser analizado.

Esto provoca que sea más complicado para los investigadores de seguridad poder analizar este tipo de amenazas. Ya hemos visto que utilizan herramientas como esta para poder analizar posible software malicioso sin comprometer el equipo.

No obstante esto no significa que ese malware no pueda ser analizado por otros métodos, pero sí que hace que sea más complicado. Generaría problemas en este sentido al no poder ser analizado mediante herramientas como esta.

Es de esperar que el malware detecte cada vez más este tipo de herramientas que sirven para analizarlo. Cada vez se utilizan más las sandbox por parte de los investigadores de seguridad y van a tener que encontrar alternativas para poder llevar a cabo su tarea.

Redes Zone (2020). EEl malware ahora detecta si está siendo analizado. Extraído en: https://www.redeszone.net/noticias/seguridad/malware-detecta-analisis/

Últimos Artículos

La caída del héroe que paró el virus Wannacry
Acusan a Disney de rastrear a niños sin consentimiento a través de sus juegos para móviles
Por ciberataque, siete millones de venezolanos quedaron sin telefonía celular
Cierran AlphaBay y Hansa, dos de las web oscuras más grandes
El troyano Remtasu está detrás de las falsas fotomultas en Colombia
¿Cómo está Iberoamérica en seguridad informática?
Las mejores extensiones de Firefox para mejorar tu seguridad y privacidad
14 millones de clientes de Verizon se han visto afectados por la filtración de sus datos
NotPeyta, ¿un acto de ciberguerra?
Los peligros de la cara oculta de internet
Una nueva oleada de ataques pone en jaque a empresas de todo el mundo
Algunas empresas ceden y pagan a los ‘hackers’ para liberarse del ciberataque
Vladimir Alem, de SonicWall: “Con la nueva plataforma actualizamos al canal”
WannaCry confirma las tendencias sobre el gasto en seguridad como el más importante en inversión TI
¿Qué es y en qué se diferencia la Deep Web de la Darknet?