POWELIKS – Un persistente Windows Malware sin ningĂșn archivo de instalador

POWELIKS - Un persistente Windows Malware sin ningĂșn instalador

El malware no es mĂĄs que un archivo malicioso que se almacena en un sistema informĂĄtico infectado para dañar el sistema o robarle datos confidenciales o realizar otras actividades maliciosas. Pero los investigadores de seguridad han descubierto una nueva y sofisticada pieza de malware que infecta sistemas y roba datos sin instalar ningĂșn archivo en el sistema objetivo.

Los investigadores denominaron este malware persistente como Poweliks, que reside solo en el registro de la computadora y, por lo tanto, no es fĂĄcilmente detectable como otro malware tĂ­pico que instala archivos en el sistema afectado que pueden escanearse con un software antivirus o antimalware.

SegĂșn Paul Rascagneres, Investigador Principal de Amenazas, analista de Malware en el software GData, debido a la posterior ejecuciĂłn de cĂłdigo del malware y paso a paso, el conjunto de caracterĂ­sticas era similar a los principios de apilamiento del enfoque de Matryoshka Doll.

Paul ha creado una serie de nombres que rasgan malware y robots para descubrir y socavar los delitos cibernéticos. Ganó el Premio Pwnie del año pasado en Black Hat Las Vegas por destruir la infraestructura del grupo de hackers chinos APT1.

Para infectar un sistema, el malware se propaga a través de correos electrónicos a través de un documento malicioso de Microsoft Word y, después de eso, crea una clave de registro de inicio automåtico codificada y, al permanecer indetectable, la oculta, dice Rascagneres.

El malware luego crea y ejecuta shellcode, junto con una carga Ăștil Windows binario que intentĂł conectarse a ‘direcciones IP codificadas‘en un esfuerzo por recibir mĂĄs Ăłrdenes del atacante.

Todas las actividades se almacenan en el registro. No se crea ningĂșn archivo “ Rascagneres dijo en una publicaciĂłn de blog. “Entonces, los atacantes pueden eludir las tĂ©cnicas clĂĄsicas de escaneo de archivos antimalware con este enfoque y pueden llevar a cabo cualquier acciĂłn deseada cuando alcanzan la capa mĂĄs interna de [a machine] incluso despuĂ©s de reiniciar el sistema.

“Para evitar ataques como este, las soluciones antivirus deben capturar el documento de Word inicial antes de ejecutarlo (si lo hay), preferiblemente antes de que llegue a la bandeja de entrada del correo electrĂłnico del cliente”.

Para crear un mecanismo de inicio automĂĄtico, el malware crea un registro, que es una clave de caracteres no ASCII, como Windows Regedit no puede leer ni abrir la entrada de clave no ASCII.

CAPACIDADES DEL MALWARE DE POWELIKS

El malware Poweliks es bastante peligroso y puede realizar una serie de actividades maliciosas. El malware puede:

  • Descargar cualquier carga Ăștil
  • Instale spyware en la computadora infectada para recolectar informaciĂłn personal o documentos comerciales de los usuarios
  • Instalar troyanos bancarios para robar dinero
  • Instale cualquier otro tipo de software malicioso que pueda satisfacer las necesidades de los atacantes.
  • utilizado en estructuras botnet
  • generar enormes ingresos a travĂ©s del fraude publicitario

El truco no ASCII es una herramienta que Microsoft creĂł y utiliza para ocultar su cĂłdigo fuente de ser copiado o manipulado, pero esta caracterĂ­stica fue descubierta por un investigador de seguridad.

POWELIKS - Un persistente Windows Malware sin ningĂșn instalador

Los investigadores de seguridad y malware en el KernelMode.info El mes pasado, el foro analizĂł una muestra que fue descartada por un documento de Microsoft Word que explotĂł la vulnerabilidad descrita en CVE-2012-0158, que afectĂł a los productos de Microsoft, incluido Microsoft Office.

Los autores del malware distribuyeron el malware como un archivo adjunto de correos falsos de CanadĂĄ y / o correos electrĂłnicos de USPS que supuestamente contenĂ­an informaciĂłn de seguimiento.

Este truco evita que muchas herramientas procesen esta entrada maliciosa y podrĂ­a generar muchos problemas para los equipos de respuesta a incidentes durante el anĂĄlisis. El mecanismo se puede usar para iniciar cualquier programa en el sistema infectado y esto lo hace muy poderoso,“Dijo Rascagneres.