El malware Nemucod mejora sus “dotes” de infección

El malware Nemucod mejora sus “dotes” de infección
1 comentario Facebook Twitter Flipboard E-mail

Durante este último año, numerosas empresas se han visto afectadas por ataques de ransomware; una realidad sobre la que no pocas compañías de seguridad se han encargado de dar la voz de alarma y una cuestión tremendamente preocupante que vuelve al panorama noticioso de la mano de Nemucod.

Sí, porque parece que, según ha publicado ESET a través de su blog Welivesecurity, este malware ha mejorado sus técnicas de infección y ofuscación, estas últimas con el objetivo de esquivar la detección del antivirus y afectar a un número más abultado de usuarios. Pero, ¿cómo lo ha hecho exactamente?

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

Las “mejoras” de Nemucod

En primer lugar sin embargo, y antes de entrar en mayores vicisitudes, no podemos dejar de comentar algunas cuestiones acerca de este malware. Un “descargador” empleado por los ciberdelincuentes para descargar y ejecutar ransnomware como Locky y TeslaCrypt.

Un software malicioso descubierto en marzo del año pasado que, durante los últimos meses ha experimentado ciertas modificaciones que, como apuntábamos, hacen que sea mucho más complicado de detectar. Así, los investigadores han topado con un cambio en el proceso de infección que, si bien anteriormente producía el problema cuando el usuario abría el fichero, este se descargaba y ejecutaba; ahora se decanta por un proceso más complicado.

Nemucod4

Para empezar y entre otros, el malware ya no utiliza un solo método para conectarse a Internet (algo que podía provocar que no operase de manera correcta debido a diversas configuraciones) sino que ahora cuenta con una función que le permite conectarse usando varios sistemas.

Nemucod2
Nemucod3

Y no solo eso, sino que Nemucod ahora incluye múltiples ubicaciones de descarga, un cambio que, probablemente, incrementará sus posibilidades de éxito (anteriormente y una vez que el malware fuese eliminado de la dirección predefinida, el ataque fallaba).

Nemucod4 2

Asimismo y respecto a la detección por parte de los antivirus, la versión más reciente del software descarga un fichero “ofuscado” y lo ubica en la carpeta %TEMP% de la víctima. Posteriormente y después de guardar este payload, se traslada el contenido del archivo a una función que lleva a cabo la primera “ronda de desofuscación”, en la que todos los caracteres pasan a sus valores decimales y, en caso de ser superior a 127, se sustituye por su valor correspondiente desde un array predefinido de caracteres.

Nemucod5
Nemucod6

A continuación tiene lugar una segunda etapa en la que se eliminan los últimos cuatro caracteres del contenido del archivo, se realiza una operación XOR en cada carácter con la letra “s” y se descifra el contenido del fichero. Seguidamente comprueba si el tamaño se encuentra entre los 174.080 y 189.440 bytes y si el fichero empieza por MZ.

Captura De Pantalla 2016 06 17 A Las 13 16 37

Por último, la función deobRoud3 procesa el contenido del archivo a otra ronda de sustitución que se ejecuta con el objetivo de evitar problemas con “caracteres amplios”. Para acabar, todos los caracteres se convierten desde su valor decimal, momento a partir del cual el payload está listo para ser ejecutado. En lugar de .exe, Nemucod ahora genera un fichero .bat.

Nemucod15

En definitiva unas nuevas características que muestran mejoras significativas en este desarrollador y que, como comentábamos, pretenden incrementar sus posibilidades de éxito. ESET, incluso, llega a especular sobre que sus creadores están trabajando duro con el objetivo de mejorar “sus ratios de éxito en entornos corporativos”.

Vía | Welivesecurity

Comentarios cerrados
Inicio