Detectan código de nivel gubernamental en malware de ciberdelincuentes

24/07/2014
Imagen Virus2
Cibercriminales han acoplado programas maliciosos de nivel gubernamental en ransomware corriente y troyanos bancarios. La intención es reforzar la capacidad del malware de evitar la detección y bloqueo.

El sitio de seguridad Sentinel Labs ha detectado una variante del malware Giges instalada en otro malware. La empresa ha estado estudiando durante años instancias de malware desarrollado por hackers patrocinados por estados nacionales.

Según la empresa, la combinación de código de nivel gubernamental, con malware corriente resultará en el surgimiento de malware y ataques aún más virulentos.

El código fuente, originario de Rusia, ha sido utilizado para eludir software de seguridad de tipo sandbox, que imita actividades del usuario con el fin de activar la ejecución de malware en el contenedor sellado. Otras características del código incluyen técnicas altamente avanzadas para bloquear la depuración e ingeniería inversa, ambos utilizados por los investigadores de seguridad en el análisis de malware.

"Curiosamente, el código malicioso utilizado para todas estas técnicas de evasión es significativamente más sofisticado que e ejecutable principal", escribe Sentinel Labs en su informe.

Precisamente el nivel de sofisticación llevó a los investigadores de Sentinel a la conclusión preliminar de que el código había sido utilizado en ataques de robo de datos y sabotaje informático patrocinados por gobiernos.

Con base en esa sospecha inicial, los investigadores analizaron el malware en profundidad, constatando que, efectivamente, había sido utilizado como “portador” para ejecutables usados en otros ataques dirigidos.

Tales campañas anteriores incluían, entre otras cosas, espionaje de actividades en la red, grabación de actividades del teclado, robo de propiedad intelectual y capturas de pantalla.

Este código sigiloso ha sido utilizado también por cibercriminales para extorsionar dinero a través de ransomware y phishing bancario. El código también ha sido detectado en el malware utilizado en la creación de redes de bots, ataques a infraestructuras críticas y la instalación de rootkits y troyanos, indica Sentinel en su informe.

Mientras que los delitos informáticos sigue siendo el principal motivo detrás de los ataques, el ciberespionaje es responsable de un número significativo de incidentes de robo de datos.

Según la empresa de seguridad informática, es difícil vincular estos ataques directamente a estados nacionales específicos.

Más información

Fuente: CCN-CERT