El malware Sneaky se esconde detrás del movimiento del mouse, dicen los expertos

Investigadores del proveedor de seguridad FireEye descubrieron una nueva amenaza persistente avanzada (APT) que usa múltiples técnicas de evasión de detección, incluido el control de clics del mouse. determinar la interacción humana activa con la computadora infectada.

Llamado Trojan.APT.BaneChant, el malware se distribuye a través de un documento de Word equipado con un exploit enviado durante ataques de correo electrónico dirigidos. El nombre del documento se traduce como "Jihad Islámica.doc".

"Sospechamos que este documento armado fue utilizado para apuntar a los gobiernos de Medio Oriente y Asia Central", dijo el investigador de FireEye Chong Rong Hwa el lunes en una publicación de blog.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Ataque de varias etapas

El ataque funciona en múltiples etapas. El documento malicioso descarga y ejecuta un componente que intenta determinar si el entorno operativo es virtualizado, como un entorno limitado de antivirus o un sistema de análisis de malware automatizado, al esperar para ver si hay actividad del mouse antes de iniciar la segunda etapa de ataque.

La monitorización del clic del mouse no es una nueva técnica de evasión de detección, pero el malware que la usaba en el pasado generalmente buscaba un solo clic del mouse, dijo Rong Hwa. BaneChant espera al menos tres clics del mouse antes de proceder a descifrar una URL y descargar un programa de puerta trasera que se enmascara como un archivo de imagen.jpg, dijo.

El malware también emplea otros métodos de evasión de detección. Por ejemplo, durante la primera etapa del ataque, el documento malicioso descarga el componente cuentagotas de una URL ow.ly. Ow.ly no es un dominio malicioso, sino que es un servicio de acortamiento de URL.

La razón detrás del uso de este servicio es eludir los servicios de la lista negra de URL activos en la computadora o red objetivo, dijo Rong Hwa. (Consulte también "Spammers abuse.gov URL shortener service in work-at-home scams".

De manera similar, durante la segunda etapa del ataque, el archivo.jpg malicioso se descarga desde una URL generada con la dinámica No-IP Servicio de Sistema de nombres de dominio (DNS).

Después de ser cargado por el primer componente, el archivo.jpg arroja una copia de sí mismo llamada GoogleUpdate.exe en la carpeta "C: ProgramData Google2 \". También crea un enlace al archivo en la carpeta de inicio del usuario para asegurar su ejecución después de cada reinicio de la computadora.

Este es un intento de engañar a los usuarios para que crean que el archivo es parte del servicio de actualización de Google, un programa legítimo que normalmente está instalado en "C: Archivos de programa Google Update \", dijo Rong Hwa.

El programa de puerta trasera reúne y carga información del sistema a un servidor de comando y control. También admite varios comandos, incluido uno para descargar y ejecutar archivos adicionales en las computadoras infectadas.

A medida que avanzan las tecnologías de defensa, el malware también e volves, dijo Rong Hwa. En este caso, el malware ha utilizado una serie de trucos, como evadir análisis sandbox detectando el comportamiento humano, evadir la tecnología de extracción binaria a nivel de red al realizar cifrado XOR multibyte de archivos ejecutables, enmascarado como un proceso legítimo, evadir el análisis forense mediante el uso de archivos código malicioso cargado directamente en la memoria y la prevención de listas negras de dominio automatizadas mediante el uso de la redirección a través de acortamiento de URL y servicios de DNS dinámico, dijo.