Tomáš Gardoň, analista de malware de ESET, le explica a WeLiveSecurity por qué es conveniente conocer a este troyano, detectado por ESET como Win32/PSW.Stealer.NAI y conocido como USB Thief, cuyo análisis técnico fue publicado ayer.

"USB Thief difiere en muchos aspectos de los tipos de malware más comunes que solemos encontrar en Internet", señala Gardoň.

¿Por qué? "Utiliza únicamente los dispositivos USB para propagarse y no deja ningún rastro en el equipo infectado. Sus creadores también emplean mecanismos especiales para protegerlo ante la copia o reproducción, lo que hace que sea aún más difícil de detectar y analizar".

En esta entrevista conocerás todos los detalles sobre esta particular amenaza.

Cuando leo sobre un nuevo malware, la primera pregunta que me viene a la mente es cuál es el objetivo de su creador. ¿Qué opinas de USB Thief?

Para adivinar las intenciones de su creador, debemos analizar las funciones implementadas en el malware. Al ejecutarse desde un medio USB, el malware es capaz de atacar sistemas que se encuentran aislados de Internet. Otro de los beneficios de ejecutarse desde un dispositivo USB extraíble es que no deja ningún rastro en el sistema infectado: las víctimas ni siquiera se dan cuenta de que alguien robó sus datos.

Otra de las características de este malware (que lo hace tan inusual) es que, además de ejecutarse desde un medio USB, está intrínsecamente ligado a un dispositivo USB único. Evidentemente, su creador quiere impedir que se pueda duplicar o copiar. Este vínculo, en combinación con el cifrado en múltiples capas (que también depende de las características del dispositivo USB donde se aloja el malware), hacen que sea muy difícil de detectar y analizar.

¿Podrías explicar las razones por las que el creador del malware lo vincula a un dispositivo en particular y lo cifra utilizando datos de dicho dispositivo?

Tradicionalmente, es muy común que los programas maliciosos se cifren. La razón obvia es que el cifrado evita que el malware se pueda detectar o, si se detecta, que se pueda analizar. En este caso, el cifrado también sirve para vincular el malware a un dispositivo en particular.

"A mí me parece que este malware se creó para llevar a cabo ataques dirigidos"

En cuanto a los motivos de vincular el malware a un dispositivo en particular, obviamente dificulta su propagación, pero, por otro lado, también evita que el código malicioso se filtre fuera del entorno de destino deseado. Y, dado que el ataque no deja huellas, lo más probable es que el malware no se detecte mientras se mantenga en el dispositivo USB y se borre de la máquina tras haber completado su misión.

En resumen, a mí me parece que este malware se creó para llevar a cabo ataques dirigidos.

El malware capaz de realizar ataques dirigidos contra sistemas aislados de Internet es una herramienta muy peligrosa, ¿no?

Sí. Recordemos que las organizaciones aíslan ciertos sistemas por una buena razón. Cualquier herramienta capaz de atacar los sistemas aislados de Internet por una barrera de aire debe considerarse peligrosa. Más aún si es capaz de desaparecer sin dejar rastro.

¿Cómo pueden las organizaciones prevenir los ataques basados en este tipo de malware?

"Es indispensable que el personal de todos los niveles de la empresa haga una capacitación en ciberseguridad"

Aunque este malware es único debido a sus características particulares, las cosas que debemos tener en cuenta para protegernos de él siguen siendo las mismas medidas preventivas generales de seguridad cibernética.

Más importante aún, los puertos USB deben desactivarse siempre que se pueda y, cuando no es posible, se deben establecer políticas estrictas para su uso seguro. Es indispensable que el personal de todos los niveles de la empresa haga una capacitación en seguridad cibernética, incluyendo en lo posible pruebas en la vida real.

¿Qué puede hacer el usuario para evitar caer en la trampa y ejecutar el malware?

Lamentablemente, el usuario no es quien ejecuta el malware en el caso de USB Thief. Este malware en particular utiliza una forma poco común de engañarlo. Se basa en que los dispositivos USB suelen almacenar versiones portátiles de algunas aplicaciones muy comunes, como Firefox, Notepad ++, TrueCrypt, entre otras. El malware se almacena como un complemento (plugin) de la aplicación portátil, o simplemente como un archivo de biblioteca (.DLL) utilizado por la aplicación portátil. En consecuencia, cada vez que se ejecuta la aplicación correspondiente, el malware también se ejecuta en segundo plano.

Por eso es importante que la gente entienda los riesgos de usar dispositivos de almacenamiento USB provenientes de fuentes que puedan no ser de confianza. Por más sorprendente que parezca, varios estudios demostraron que, cuando las personas encuentran una unidad USB, es muy probable que la inserten en su equipo.

Por supuesto, también es necesario desplegar otros medios de protección de datos, desde la protección de datos dentro del perímetro de la empresa hasta el cifrado de los backups.

Cuando se habla de sistemas aislados por una barrera de aire, también puede tratarse de sistemas industriales. Este malware no constituye una amenaza seria para los sistemas industriales, ya que solo es capaz de robar datos...

Bueno, son muchas las maneras en que los delincuentes podrían dañar un sistema una vez que llegan a él. Y este payload se puede rediseñar, cambiando su propósito del robo de datos a cualquier otro tipo de acción maliciosa.