Así esconde sus huellas BitPaymer

Ciudad de México, a 11 de octubre de 2017. De acuerdo a la firma de ciberseguridad Sophosel ransomware BitPaymer encripta y bloquea los archivos para pedir un rescate en bitcoins. Según los investigadores Anand Ajjan y Dorka Palotay de SophosLabs, BitPaymer utiliza un truco de codificación de malware que no se ve habitualmente y que hace más difícil averiguar cómo se desarrolló el ataque después de que ha ocurrido. 

Esta muestra utiliza una característica del sistema de archivos de Windows denominada flujos de datos alternativos (ADS) para que el malware sea menos obvio durante la ejecución. BitPaymer comienza como un archivo .EXE regular (programa), pero al ejecutar el malware se copia a sí mismo no en uno, sino en dos flujos de datos alternativos donde existe como un subcomponente de archivos vacíos. El malware luego transfiere el control a las nuevas copias de sí mismo en ADS y elimina el archivo .EXE más obvio en el que llegó al dispositivo.

Los investigadores de SophosLabs obtuvieron una muestra del malware pero, afortunadamente, no lo han visto todavía en desarrollo. Si se recibe, probablemente llegará como un enlace o vínculo de correo electrónico malicioso, como es típico para los ataques de ransomware. Sophos Anti-Virus detecta BitPaymer como Troj / Agent-AXEG y HPmal / Ransom-Y.

Así es la secuencia de ataque de BitPaymer:

• Se copia en el directorio APPDATA, utilizando un nombre de archivo aleatorio y marcando el archivo oculto. Esta es una ubicación comúnmente utilizada por el malware como un lugar para “esconderse a simple vista”.

• Establece una entrada de ejecución automática en el registro, para relanzar la copia oculta de BitPaymer automáticamente al reiniciar la computadora (esto significa que desconectar el enchufe no salvará su información).

• Genera una copia de sí mismo de un ADS llamado :exe en un archivo vacío de nombre aleatorio, utilizando esta copia para ejecutar el comando NET VIEW y obtener una lista de los recursos compartidos en red.

• Crea una segunda copia oculta de sí mismo en el directorio APPDATA y genera una copia de esta copia, utilizando nuevamente un ADS denominado :exe en un archivo vacío de nombre aleatorio. Esta instancia del malware codifica los datos del disco y los recursos compartidos en red.

Dado que las copias en ejecución de los archivos maliciosos originales terminan envueltas en dos ADS, son menos visibles de lo habitual y pueden borrar los archivos maliciosos originales cuando terminan.

La sofisticación de los ataques implica que cada vez sea necesario estar más atentos para detectar una vulnerabilidad potencial, es por esto que desde SophosLabs se recomienda evaluar la fiabilidad de archivos adjuntos en correos electrónicos, los sitios webs que se visitan y la seguridad de la red, ya que en este último caso si algún equipo de esa red ya está infectado, el riesgo de propagación es muy alto.

0 likes
Prev post: Headway se expande globalmente y llega a AsiaNext post: La nueva versión de Sophos XG Firewall ofrece un gran avance en la visibilidad de red con control de aplicación sincronizada 

Related posts