Dosfuscation, una nueva técnica de ofuscación de malware

  • Endpoint

Expertos en seguridad de G DATA han investigado la aparición de un programa de descarga de malware ofuscado mediante un método que no se había utilizado anteriormente. Los comandos batch y powershell están ocultos de tal manera que son difícilmente reconocibles.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Los autores de malware utilizan técnicas de ofuscación para evitar que los analistas detecten su código. Pues bien, expertos de G DATA han encontrado un programa de descarga de malware que usa un tipo de ofuscación nunca visto. Sascha Curylo, el analista de malware de G DATA que logró descifrar el código, afirma que "cuando vimos por primera vez la muestra, nuestro pensamiento inicial fue que habíamos exportado el archivo incorrectamente. Solo después del análisis detallado pudimos identificar los comandos batch y powershell ocultos".

Después de un análisis exhaustivo, se descubrió que el descargador de malware utiliza un nuevo método para ocultar el malware real, que ha sido bautizado con el nombre ‘Dosfuscation’ por el investigador de seguridad Daniel Bohannon. Las subcadenas y los números se utilizan para ensamblar secuencias de comandos de letras individuales. Hasta ahora, sin embargo, no se conocía ninguna muestra de malware que usara este método en ataques activos.

La muestra analizada por G DATA se envió con el nombre Rechnung-Details-DBH [random number sequence].doc por un cliente. El archivo de Word ejecuta una macro que contiene más código ofuscado. Esta macro inicia el código batch ofuscado con el que se abre y controla la línea de comando. En este momento, se inicia un descargador de powershell y se descarga otro descargador llamado Emotet. El malware se utilizó inicialmente como un troyano bancario, pero con el tiempo se ha convertido en un descargador modular.

La carga real utilizada en el ataque actual es otro malware llamado Trickbot, que es conocido por los ataques a la banca online. Trickbot es descargado por el malware Emotet.

TAGS Malware