OnionCrypter, un cifrador que utiliza múltiples técnicas para ocultar la información

  • Endpoint

cifrado, internet, redes

El crypter ha sido ampliamente utilizado por algunas de las familias de malware más conocidas, como Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader, entre otras. En los últimos tres años, Avast ha protegido del malware que lo utiliza a cerca 400.000 usuarios en todo el mundo.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar 

El malware está formado por muchos componentes que le permiten funcionar. Uno de estos componentes clave es el denominado crypter o cifrador, una herramienta utilizada para ocultar partes maliciosas del código mediante el cifrado con el objetivo de parecer inofensivo y más difícil de leer. Pues bien, el Laboratorio de Amenazas de Avast ha descubierto un crypter que ha sido ampliamente utilizado desde 2016.

El crypter ha sido bautizado como OnionCrypter, un nombre refleja las múltiples capas que utiliza. En este sentido, el cifrador utiliza múltiples técnicas para dificultar a los investigadores, antivirus y software de seguridad la lectura de la información que protege, ocultando la información dentro de las “capas de cebolla" de su cifrado.

Según Avast Threat Labs, OnionCrypter ha sido utilizado por algunas de las familias de malware más conocidas y prevalentes, como Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader, entre otras. En los últimos tres años, Avast ha protegido del malware que utiliza este crypter a casi 400.000 usuarios en todo el mundo. Debido al tiempo que lleva OnionCrypter en el mercado y a su amplio uso, los investigadores creen que sus creadores lo ofrecen como servicio.

Desde el punto de vista de un creador de malware, un cifrador es una herramienta importante para contrarrestar las protecciones contra el malware. Sin embargo, desde el punto de vista de un investigador, ser capaz de identificar un crypter ayuda a detectar mejor y más rápidamente el nuevo malware cuando éste tiene este componente.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos