CowerSnail, un virus informático desarrollado utilizando Qt

Escrito por Adrián Crespo

Los virus informáticos evolucionan. Es habitual encontrar excepciones que posteriormente crean tendencias. Los ransomware han sido un claro ejemplo. Pero lo importante es innovar y por ello los ciberdelincuentes continúan haciendo valer el factor sorpresa. CowerSnail, la amenaza que nos ocupa y que está vinculado a SambaCry, es una de las primeras amenazas programadas utilizando el framework Qt.

Dada la cercanía de SambaCry, un troyano destinado sobre todo  a afectar sistemas Linux, y para ser más exactos, una vulnerabilidad en el protocolo Samba, no hay que hacer excesiva memoria.

La última amenaza que han detectado y que está vinculada con esta, se conoce como CowerSnail y está llamada a afectar a los usuarios de sistemas operativos Windows. La relación entre ambas amenazas se ha conocido a posteriori, tras realizar el análisis del código. En él han encontrado bastantes coincidencias con SambaCry, lo que ha hecho pensar a los expertos en seguridad que han sido los propietarios de las primera los que se han valido del lenguaje de programación Qt para crear la segunda.

De entrada, ambas amenazas informáticas comparten el servidor de control. Ya se sabe que en la actualidad, el servidor de control es fundamental para controlar de forma sencilla todos los equipos que se han infectado.

Como principal novedad, la utilización del framework Qt es tal vez el punto sorprendente que nos aporta esta amenaza. Esto aporta una clara ventaja a los ciberdelincuentes y es la posibilidad de disponer de una amenaza multiplataforma de forma rápida y sencilla, sin la necesidad de incurrir en desarrollos adicionales.

El resultado final es una amenaza cuyo instalador posee un tamaño próximo a 3 MB.

Cómo funciona CowerSnail

Con un instalador que posee muy poco tamaño, ¿qué es lo que podemos esperar de esta amenaza?. En primer lugar, se realiza una comprobación de si es posible o no la comunicación con el servidor de control. En función del resultado de esta prueba, el instalador se lanzará con unas opciones u otras, pero todo parece indicar que la amenaza puede funcionar sin ningún problema prescindiendo del servidor de control.

Otro aspecto a tener en cuenta es que se busca lo mismo que en SambaCry: buscar sistemas afectados por esta vulnerabilidad en el protocolo Samba.

Una vez determinado si existe conectividad con el servidor de control, es necesario determinar qué sistema operativo es el huésped. Esto denota algo que ya hemos comentado: la naturaleza multiplataforma de la amenaza informática.

Funciones y no parece una amenaza definitiva

Es cierto que apareció una semana después de detectar SambaScry en Internet, sin embargo, no parece que sea una amenaza definitiva. Posee una gran cantidad de funciones que se pueden ejecutar de forma remota. Pero los expertos indican que no parece que sea un troyano totalmente funcional, y que parece más un intento de ver el funcionamiento de una amenaza informática que hace uso del framework Qt.

Hemos indicado que hay aspectos que marcan un antes y un después. La utilización de Qt para crear amenazas puede suponer una ayuda para los ciberdelincuentes a la hora de crear virus informáticos multiplataforma.

Fuente > Secure List

Últimos análisis

Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8