Damián Digital

El nuevo malware polimórfico evade tres cuartas partes de los antivirus

La ofensiva de Emotet muestra que el malware se reordena continuamente para evitar la detección basada en firmas
Se descubrió una nueva variedad de malware polimórfico capaz de evadir a más del 75 por ciento de los motores antivirus probados.
Según los investigadores de seguridad de Bromium, el troyano bancario, conocido como Emotet, puede evitar la detección por escáneres antivirus a medida que se reensambla continuamente.
Por lo general, los autores de malware solo cambiarán el formato del método de distribución (por ejemplo, un documento PDF o Word), pero el archivo ya podría ser conocido por AV. Bromium descubrió que los autores de cepas de malware recientes vuelven a empaquetar continuamente sus archivos ejecutables empaquetados y los documentos utilizados para distribuirlos, evitando la detección basada en firmas de todo y nada.
Los investigadores dijeron que este tipo de enfoque indica que los autores de malware están llegando a nuevos límites para evitar la detección y podrían ser copiados por otros hackers.
Matt Rowen, un ingeniero de software en Bromium, dijo que ahora está viendo que el ejecutable secundario también está cambiando, por lo que AV no reconoce el malware.
“Preocupantemente, esto muestra que los escritores de malware realmente están mejorando el estándar de su ingeniería, lo que representa un problema para los proveedores de AV, que se verán obligados a una situación de mierda que nunca podrán ganar”, dijo.
Según una publicación de blog, el malware se presenta como un código generado aleatoriamente diseñado para parecerse a una aplicación legítima. El malware viene ya sea protegido con un nuevo empacador, o el empacador mismo cuenta con una funcionalidad polimórfica avanzada.
“Estas diferencias hacen que sea casi imposible perfilar una nueva muestra en función de la huella del empaquetador solo, y presenta un gran obstáculo para el antivirus que intenta el desempaquetado automático como parte de su análisis”, dijo Joe Darbyshire, analista de malware en Bromium.
Dijo que los autores de malware están reempaquetando su software en un único ejecutable para cada víctima potencial, evitando la detección basada en firmas de todos y cada uno.
“Aunque hemos visto esto con documentos polimórficos, los ejecutables descartados empaquetados en esta escala no tienen precedentes. Esta es la razón por la cual los enfoques de seguridad de detección para proteger no funcionarán. Siempre será una cuestión de ponerse al día, ya que los escritores de código malicioso están un paso por delante. La escala que vemos en estas muestras sugiere que pueden ser más que unos pocos pasos adelante “, dijo Darbyshire.
Andy Norton, director de inteligencia de amenazas en Lastline, dijo a SC Media UK que tener un entorno instrumentado que proporcione análisis de comportamiento en encuentros con todo tipo de malware ahora es una mejor práctica.
“Una segunda capa de protección podría ser que si un archivo pasa una verificación de cómo está construido, entonces debe pasar una verificación de cómo se comporta”, agregó.
Tim Woods, aliado tecnológico de VP en FireMon, le dijo a SC Media UK que muchos de los juegos de malware más sofisticados dependen de la complacencia humana o del error humano para su lanzamiento.
“Ya sea para hacer que las credenciales sean accesibles, para abrir un archivo adjunto sin pretensiones o para una gestión de firewall deficiente, la organización tiene la obligación de capacitar continuamente al personal en materia de seguridad”, dijo.
“Los malos actores con frecuencia confían en una comunidad de usuarios con poca educación para penetrar y ejecutar con éxito una estrategia de ataque determinada. Una buena educación sigue siendo una de las inversiones más valiosas que una organización puede hacer para protegerse mejor. En segundo lugar, aprovechar la automatización de la tecnología inteligente para agregar mejoras de eficiencia a los equipos de seguridad con poca personal también puede ser una buena inversión. Siempre será un juego de salto, pero no hay reemplazo para una buena postura de seguridad que pone un gran énfasis en eliminar la complejidad innecesaria para reducir los errores “.
LEER  AngelFire: El malware de la CIA infecta el sector de arranque del sistema para hackear las PC de Windows

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: