Malware

La virtualización empieza a ser insuficiente considerando que nos enfrentamos a malware cada vez más "consciente" de técnicas de sandboxing. Una de las charlas Virus Bulletin esta semana estuvo relacionada con las principales estrategias utilizadas en los códigos maliciosos para detectar los sandbox y las consecuencias en los resultados de los análisis.

Hace algún tiempo estuvimos analizando en este blog un archivo malicioso que contaba con ciertas técnicas de anti-VM para ocultar sus verdaderas intenciones al ser ejecutado en entornos virtualizados. Hoy veremos otras técnicas no tan comunes pero igualmente efectivas, basadas en instrucciones especiales de la arquitectura x86.

Analizaremos una forma automatizada de extraer las strings de Python e Immunity Debugger.

Falsas páginas para el rastreo de envíos por Royal Mail distribuyen TorrentLocker, ransomware que se propaga mediante mensajes de spam que contienen un vínculo a una página de phishing.

Una aplicación que simula descargar las fotos de Jennifer Lawrence contiene una variante de Win32/Fynlosky, un backdoor que permite el control remoto de los sistemas infectados.

El análisis de información de red como servicios DNS y direcciones IP puede arrojar la suficiente información como para hacer un perfil sobre el comportamiento de los atacantes, e incluso llegar a predecir quienes pueden ser potenciales víctimas

La forma más sencilla de analizar un archivo malicioso consiste en ejecutarlo en un entorno controlado y observar los resultados. A tales efectos, la utilización de máquinas virtuales se hace vital, ya que permite la recuperación casi instantánea del estado inicial de la máquina. Por ello, en diversas ocasiones el malware incluye mecanismos para detectar si está siendo ejecutado en un entorno virtualizado, situación ante la cual modifica su camino de ejecución para esconder su verdadero comportamiento. Hoy analizaremos algunas de estas técnicas mediante un caso práctico.

Un sistema de detección proactiva de canales de comunicación C&C puede brindar grandes beneficios a la hora de identificar fallas en nuestro sistema y vectores de ataque recurrentes. En este post veremos el resultado de aplicar un esquema del estilo.

Encontramos un RAT, o troyano de acceso remoto (por sus siglas en inglés), que se hace pasar por varias aplicaciones legítimas para Android. Observemos más de cerca la forma en que se propaga este malware, lo que hace y su conexión con una noticia que hace poco llegó a primera plana.