BendyBear, un nuevo malware polimórfico altamente sofisticado

  • Endpoint

seguridad ataque malware

Asociado con el grupo de origen chino BlackTech, BendyBear es muy maleable y contiene más de 10.000 bytes de código. Lo que le hace realmente peligroso es su capacidad de pasar completamente desapercibido y sus avanzadas contramedidas contra las herramientas de ciberseguridad.

Recomendados: 

Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar 

El pasado mes de febrero, un equipo de analistas de ciberseguridad publicó una investigación de un nuevo malware altamente sofisticado bautizado como BendyBear, cuyos principales objetivos son organizaciones y agencias tecnológicas del Este de Asia con el propósito de robar documentos confidenciales y hacer ciberespionaje que pueda servir a los intereses de organizaciones o el Estado Chino.

Asociado con el grupo de origen chino BlackTech, BendyBear es muy maleable, muy sofisticado y contiene más de 10.000 bytes de código máquina. Mediante Shellcode cargado en el sistema que los ciberatacantes tengan como objetivo, es capaz de hacer transferencias de archivos a su servidor de Comando y Control, otorgarles acceso Shell, realizar capturas de pantalla y muchas otras funciones con las que han hacerse con multitud de archivos y documentos de carácter muy sensible.

Lo que le hace realmente peligroso es su capacidad de pasar completamente desapercibido. Esta malware polimórfico está cambiando constantemente su apariencia utilizando un algoritmo de encriptación y no deja apenas ningún rastro en los archivos de los sistemas. No solo emplea medidas pasivas de ocultación, sino que también contiene contramedidas muy avanzadas contra las herramientas de ciberseguridad: el malware analiza constantemente su entorno y si detecta signos de rastreo o análisis, utiliza sus características polimórficas para cambiar su propio código y de esta forma evitar cualquier tipo de detección por su firma.

Los analistas de ciberseguridad que lo han descubierto han publicado sus Indicadores de Compromiso (IoC) para que los SOC y los equipos de IT puedan identificarlos de manera rápida. Pero lo cierto es que la comunidad de ciberseguridad está cada vez más preocupada por el auge de estas Amenazas Persistentes Avanzadas (APT) que tienen signos de estar patrocinadas por otras potencias extranjeras. El ejemplo más evidente de esta tendencia es Sunburst, el ciberataque responsable del ataque en cadena de suministro al Software Solarwinds y que afectó a cientos de grandes organizaciones, tanto públicas como privadas.

Por eso, bajo este contexto, Cytomic recalca que es más importante que nunca que las organizaciones cuenten con servicios de analítica avanzada para acelerar su capacidad de detección y respuesta ante los APT.

TAGS Malware, APT

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos