Los ciberdelincuentes no dejan de sorprendernos y en la última amenaza detectada estos se han encargado de que se sirva de los software de seguridad existentes en el equipo para instalarse de forma adecuada. Bookworm es el nombre que ha recibido y por el momento se vale de las soluciones de seguridad de Microsoft y Kasperksy.
Algunos expertos en seguridad han añadido que encuentran muchas semejanzas con respecto al RAT PlugX, una puerta trasera que fue detectada a principios de año y se consideraba un APT (en inglés Advanced Persistent Threats). Los investigadores encargados de analizar la amenaza también han añadido que se trata de un nuevo tipo de malware, realizando una instalación parcial para evitar que las herramientas de seguridad presentes en el sistema detecten su presencia. De este modo, podría decirse que esta también es incremental ya que poco a poco se completa, estableciendo una comunicación con un servidor remoto de control que indica qué componentes se deben cargar en cada equipo.
Esta amenaza está formada por un fichero de texto que posee contenido cifrado. Este corresponde con unas librerías DLL que son cifradas utilizando el algoritmo XOR. Este archivo generado junto con algunas librerías dinámicas y otros ejecutables se empaquetan para formar parte del instalador de la amenaza. Cuando el usuario ejecuta este archivo se produce la extracción de todos los archivos comprimidos y comienza la instalación del troyano.
Bookworm utiliza los permisos de las herramientas de seguridad para no ser detectado
Para las herramientas de seguridad es un auténtico problema, ya que cuando esta se ejecuta por primera vez lo que hace en primer lugar es localizar procesos relacionados con Microsoft Malware Protection (MsMpEng.exe)yd Kaspersky Anti-Virus (ushata.exe). El motivo es muy sencillo y está relacionado con los permisos de ejecución Al tratarse de procesos de herramientas de seguridad, estos van a tener permisos prácticamente de administrador, por lo que el malware se podrá instalar sin ningún problema. Por este motivo, se realiza el copiado de las DLL y ejecutables que acompañan al fichero de texto a estos procesos.
Gracias a esto, Bookworm ahora posee los permisos necesarios para instalarse en el equipo sin ningún problema, estableciendo comunicaciones con el servidor de control remoto para recibir órdenes y conocer qué elementos debe instalar. Por el momento se desconoce que librerías dinámicas pueden descargarse o si existen otras herramientas de seguridad afectadas por esta práctica, siendo también un misteriocuál es la vía de difusión que utilizan los ciberdelincuentes.
Fuente | Softpedia