El malware ahora detecta si está siendo analizado

El malware ahora detecta si está siendo analizado

Javier Jiménez

Los piratas informáticos perfeccionan constantemente sus ataques. Es cierto que tenemos a nuestra disposición un amplio abanico de posibilidades en cuanto a herramientas de seguridad y métodos para protegernos. Sin embargo los ciberdelincuentes también mejoran sus ataques para lograr saltarse esas medidas y conseguir sus objetivos. En este artículo nos hacemos eco de una noticia que informa sobre cómo los desarrolladores de malware ahora comprueba si se está ejecutando en el servicio de análisis Any.Run.

Detectan si el malware está siendo analizado

Con el objetivo de mejorar sus ataques, de evitar ser detectados por todos los medios, los piratas informáticos ahora han buscado la manera de conocer si su malware está siendo analizado. Una manera más de evitar las herramientas de seguridad.

Any.Run es un servicio de sandbox de análisis de malware que permite a los investigadores y usuarios analizar malware de manera segura sin riesgo para sus equipos. Esta herramienta recibe un archivo que puede ser un problema de seguridad y lo analiza aislado en una máquina virtual de Windows. Es allí donde ejecuta ese archivo que, en caso de ser malicioso, no va a poner en riesgo la seguridad de ese equipo.

Los investigadores usan este tipo de herramientas para analizar una posible amenaza. Comprueban cómo actúa. Any.Run registra la actividad de red, actividad de archivos y cambios en el registro.

Esto es lo que quieren evitar los piratas informáticos ahora. Ha sido detectado en una nueva campaña de un troyano que roba contraseñas descubierta por el investigador de seguridad JAMESWT. Los scripts maliciosos de PowerShell se descargan e instalan en el equipo.

En este caso, cuando ejecuta la secuencia de comandos, descarga dos secuencias de PowerShell en el equipo de la víctima, donde viene incrustado el malware. El script decodifica el malware y lo ejecuta en el sistema. Al ejecutarse el segundo script intenta iniciar lo que sería el troyano que roba contraseñas Azolrult. Sin embargo si detecta que ese software se está ejecutando en Any.Run mostrará un mensaje de alerta y ese malware no se ejecuta. No podría ser analizado.

Más difícil para los investigadores

Esto provoca que sea más complicado para los investigadores de seguridad poder analizar este tipo de amenazas. Ya hemos visto que utilizan herramientas como esta para poder analizar posible software malicioso sin comprometer el equipo.

No obstante esto no significa que ese malware no pueda ser analizado por otros métodos, pero sí que hace que sea más complicado. Generaría problemas en este sentido al no poder ser analizado mediante herramientas como esta.

Es de esperar que el malware detecte cada vez más este tipo de herramientas que sirven para analizarlo. Cada vez se utilizan más las sandbox por parte de los investigadores de seguridad y van a tener que encontrar alternativas para poder llevar a cabo su tarea.

Desde RedesZone recomendamos siempre a los usuarios mantener la seguridad en todo momento para evitar la entrada de malware que pueda afectarnos. Es esencial que contemos con herramientas de seguridad y tener los equipos actualizados, pero también el sentido común debe estar presente. Os dejamos un artículo con consejos para mantener la seguridad al usar equipos públicos.