El malware fileless vuelve a la carga con Rozena

  • Actualidad

El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros de un tipo de malware que está repuntando.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Rozena es un malware tipo backdoor capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otros equipos conectados en su red.

Rozena se vio por primera vez en 2015 y reapareció en marzo de este año. El malware aún se dirige a los sistemas operativos Windows, pero lo que marca la diferencia es la nueva adaptación a la técnica sin archivos, que usa scripts de PowerShell para ejecutar su acción maliciosa. Una encuesta realizada por Barkly y Ponemon Institute descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados en archivos. Esta podría ser la razón por la que los autores de malware siguen esta tendencia.

De acuerdo con G Data, este archivo puede llegar a un sistema como un archivo generado por otro malware o como un archivo descargado al visitar sitios maliciosos. También puede llegar como un archivo adjunto en un correo de spam. Rozena es un archivo ejecutable que se enmascara como un archivo de Microsoft Word. Tras la ejecución, creará un archivo de texto llamado Hi6kI7hcxZwU en la carpeta %temp%. A continuación, el archivo ejecutable ejecutará comandos ofuscados y codificados de PowerShell con un orden y propósito específicos.

TAGS Malware