Durante este último año, numerosas empresas se han visto afectadas por ataques de ransomware; una realidad sobre la que no pocas compañías de seguridad se han encargado de dar la voz de alarma y una cuestión tremendamente preocupante que vuelve al panorama noticioso de la mano de Nemucod.
Sí, porque parece que, según ha publicado ESET a través de su blog Welivesecurity, este malware ha mejorado sus técnicas de infección y ofuscación, estas últimas con el objetivo de esquivar la detección del antivirus y afectar a un número más abultado de usuarios. Pero, ¿cómo lo ha hecho exactamente?
Las “mejoras” de Nemucod
En primer lugar sin embargo, y antes de entrar en mayores vicisitudes, no podemos dejar de comentar algunas cuestiones acerca de este malware. Un “descargador” empleado por los ciberdelincuentes para descargar y ejecutar ransnomware como Locky y TeslaCrypt.
Un software malicioso descubierto en marzo del año pasado que, durante los últimos meses ha experimentado ciertas modificaciones que, como apuntábamos, hacen que sea mucho más complicado de detectar. Así, los investigadores han topado con un cambio en el proceso de infección que, si bien anteriormente producía el problema cuando el usuario abría el fichero, este se descargaba y ejecutaba; ahora se decanta por un proceso más complicado.
Para empezar y entre otros, el malware ya no utiliza un solo método para conectarse a Internet (algo que podía provocar que no operase de manera correcta debido a diversas configuraciones) sino que ahora cuenta con una función que le permite conectarse usando varios sistemas.
Y no solo eso, sino que Nemucod ahora incluye múltiples ubicaciones de descarga, un cambio que, probablemente, incrementará sus posibilidades de éxito (anteriormente y una vez que el malware fuese eliminado de la dirección predefinida, el ataque fallaba).
Asimismo y respecto a la detección por parte de los antivirus, la versión más reciente del software descarga un fichero “ofuscado” y lo ubica en la carpeta %TEMP% de la víctima. Posteriormente y después de guardar este payload, se traslada el contenido del archivo a una función que lleva a cabo la primera “ronda de desofuscación”, en la que todos los caracteres pasan a sus valores decimales y, en caso de ser superior a 127, se sustituye por su valor correspondiente desde un array predefinido de caracteres.
A continuación tiene lugar una segunda etapa en la que se eliminan los últimos cuatro caracteres del contenido del archivo, se realiza una operación XOR en cada carácter con la letra “s” y se descifra el contenido del fichero. Seguidamente comprueba si el tamaño se encuentra entre los 174.080 y 189.440 bytes y si el fichero empieza por MZ.
Por último, la función deobRoud3 procesa el contenido del archivo a otra ronda de sustitución que se ejecuta con el objetivo de evitar problemas con “caracteres amplios”. Para acabar, todos los caracteres se convierten desde su valor decimal, momento a partir del cual el payload está listo para ser ejecutado. En lugar de .exe, Nemucod ahora genera un fichero .bat.
En definitiva unas nuevas características que muestran mejoras significativas en este desarrollador y que, como comentábamos, pretenden incrementar sus posibilidades de éxito. ESET, incluso, llega a especular sobre que sus creadores están trabajando duro con el objetivo de mejorar “sus ratios de éxito en entornos corporativos”.
Vía | Welivesecurity
Ver 1 comentarios