Parece que siempre estuviéramos dando vueltas a lo mismo, pero la realidad es que el malware es algo que está muy presente, a nuestro pesar, en nuestros móviles. Ya que los hackers son cada vez más activos a la hora de llevarlos a los terminales, para lo cual están siempre adaptándolos a las nuevas medidas de seguridad, como vais a comprobar.

Hoy nos hacemos eco de una nueva versión del malware «sin archivos» que ha sido desvelada por los expertos de Karspersky. Esta nueva campaña es muy diferente a todo lo que hemos visto hasta ahora, lo que le está otorgando muchas posibilidades de éxito en sus ataques mientras no se arme una buena defensa contra él.

Un malware innovador

Este malware que se ha descubierto ahora destaca por hacer un uso de los registros de eventos de Windows muy diferentes de lo habitual. La campaña detectada por Karspersky utiliza una técnica diferente a lo que estamos acostumbrados, y se oculta dentro de los registros de eventos de Windows sin que se pueda identificar a través de determinados archivos, vamos, que a este nivel es algo así como invisible, y no es localizable de esta forma.

malware

Como es habitual, la infección llega cuando la víctima se descarga un archivo determinado, y para no ser detectado el hacker utiliza una serie de wrappers que permite que los troyanos no se puedan detectar fácilmente. Incluso se han utilizado certificados digitales para firmar los módulos, algo que puede hacer que este software malicioso pase aún más desapercibido. En estas campañas los atacantes han utilizado hasta dos tipos de troyanos diferentes para poder obtener un acceso al sistema más amplio.

Pero sin duda lo más llamativo es que se trata de la primera vez que se usan los registros de eventos de Windows para oculta códigos Shell en el sistema operativo. Y es que este malware ha guardado y ejecutado shellcode partiendo de los registros de eventos de Windows, algo que desde luego no ha sido común hasta ahora en este tipo de eventos. Este es un tipo de ataque que si bien no es infalible, sí que se trata de algo difícil de evitar.

Qué hacer en estos casos

Pues bien, desde Karspersky, a la vez que advierten de los peligros de este nuevo malware, también nos guían a la hora de poder evitar este tipo de ataques, o de al menos minimizar su impacto en nuestros dispositivos. Para ello recomiendan evidentemente el uso de alguna de sus herramientas, como por ejemplo Kaspersky Endpoint Security for Business, instalar soluciones anti-APT y EDR para poder detectar las amenazas a tiempo y evitar así ser víctimas de alguno de estos ataques.

malware

Por otro lado los servicios Kaspersky Managed Detection and Response pueden ser una buena ayuda a la hora de detener esos ataques en las etapas iniciales. Sea como fuere, es evidente que cuando uno de estos ataques se desencadena, es muy difícil de pararlos, por eso siempre, en este caso y en otros, lo importante es al prevención, y dar con estas amenazas antes de que puedan ser precisamente algo malo para nuestros dispositivos.