¡Cuidado con este nuevo malware de Windows, ataca un lugar inusual en el sistema!

Bajo Windows, los piratas informáticos han logrado desarrollar un tipo de malware nuevo y ultra sofisticado. Para ello atacan al gestor de eventos del sistema operativo, una técnica nunca antes vista que les permite recuperar todo tipo de información confidencial almacenada en el ordenador infectado. Sin que el sistema se dé cuenta de que se ha corrompido, claro.

Se pensó a salvo de cualquier posibilidad de infección de la PC. Por su naturaleza, el visor de eventos es una herramienta muchas veces olvidada y no destinada a realizar nada. Sin embargo, los piratas informáticos han logrado explotarlo, por lo que sirve como catalizador para el malware.

Los investigadores de Kaspersky están detrás de este descubrimiento. El equipo de investigación explica su descubrimiento en estos términos: “En febrero de 2022, observamos la técnica de poner shellcode en los registros de eventos de Windows por primera vez durante un ataque malicioso. Permite que un troyano “sin archivo” se oculte a simple vista en el sistema de archivos”.

Lea también: Antivirus ruso Kaspersky prohibido en Estados Unidos, representa “un riesgo para la seguridad nacional”

Esta amenaza se propaga a través del Visor de eventos de Windows

Para información, el visor de eventos se encarga de registrar todos los eventos del sistema, errores que ocurren tan pronto como usa el sistema operativo, etc. Este observador permite identificar errores o fallas de Windows, analizarlos y/o enviarlos a un administrador. Se puede acceder a él a través del menú contextual del menú Inicio, que está disponible con un simple clic derecho en el icono de Windows en la barra de tareas.

Aunque está presente en todas las versiones de Windows, los usuarios a menudo ignoran el visor de eventos. ¿Quién desconfiaría de una herramienta que solo enumera errores? Sin embargo, los piratas informáticos han logrado secuestrarlo para convertirlo en una herramienta para propagar malware.

Denis Legezo, investigador de Kaspersky, dice que la técnica utilizada es una primicia en el mundo de la ciberseguridad. Consiste en copiar el ejecutable WerFault.exe (un archivo legítimo de Windows) en el directorio C:\Windows\Tasks. Copia el archivo wer.dll, que se adjunta al Informe de errores de Windows y también es un archivo legítimo del sistema operativo, en la misma ubicación. Todo ello sin el conocimiento del usuario y del propio Windows.

Y aquí es donde empieza a actuar la amenaza, ya que altera el contenido de la DLL, para poder cargar contenido malicioso. Para ello, el malware busca en los registros de eventos datos muy específicos (tipo 0x4142 – ‘AB’ en ASCII). Si no los encuentra, inyecta una pequeña pieza de código encriptado de 8 KB, que contiene un malware o varios malwares. Software malicioso que posteriormente será ejecutado.

Observador de eventos de malware de Windows
El malware escribe información mediante shellcode en el registro de eventos de Windows. (Crédito de la captura: Kaspersky).

Un tipo de propagación de malware que nunca antes se había visto en Windows

Una vez que el malware está configurado y lanzado, el atacante puede robar todos los datos personales del usuario. Si este método que consiste en piratear el observador de eventos es nuevo, el ataque sin embargo se basa en las herramientas de piratería existentes que se encuentran fácilmente en la Web. Los investigadores encontraron rastros de troyanos conocidos en el código malicioso, como Throback y Slingshot, dos piezas de malware que se encuentran en un “kit” de piratería llamado SilentBreak.

Según Kaspersky, la tecnología utilizada es parte de una campaña “muy específica”. Esta técnica es única porque actúa sin depender inicialmente de un conjunto de archivos externos. Utiliza los archivos ya presentes en el sistema operativo para modificar su contenido.

Si los investigadores de Kaspersky no brindan ningún detalle sobre las ediciones de Windows en cuestión, es probable que afecte a todas las ediciones del sistema operativo indiscriminadamente, desde Windows 7 hasta Windows 11, pasando por Family, Pro, etc. Kaspersky tampoco especifica si algún tipo de solución antiviral es hoy en día capaz de detectar esta nueva amenaza.

Fuente: Kaspersky

Leave a Reply

Your email address will not be published.