USBThief: nuevo troyano capaz de evitar su detección

Los troyanos son el tipo de malware más utilizado por los piratas informáticos para el robo de datos es el caso de USBThief.

En estos tiempos en los que todo está conectado, el malware suele funcionar siempre a través de Internet, ya que eso permite a los piratas informáticos llevar a cabo ataques remotos sin dejar rastro.

Sin embargo, mientras estábamos preocupados por proteger nuestra conexión a Internet, algunos piratas informáticos han apostado por el robo de datos desde memorias USB instalando en ellas troyanos totalmente indetectables para las aplicaciones antivirus.

Este troyano ha sido detectado por la empresa de seguridad ESET y ha recibido el nombre de USB Thief debido a que su finalidad es la de robar datos desde una memoria USB maliciosa. Mientras que, en cuanto a funcionamiento, como vamos a ver a continuación, es un troyano bastante simple, cuenta con un ingenio que no se había visto hasta ahora, tanto en su forma de distribución como en la técnica utilizada para evadir los motores antivirus.

“Este malware utiliza únicamente los dispositivos USB para propagarse y no deja ningún rastro en el equipo infectado. Sus creadores también emplean mecanismos especiales para protegerlo ante la copia o reproducción, lo que hace que sea aún más difícil de detectar y analizar” dijo Tomáš Gardoň, analista de malware de ESET.

Mientras que el malware convencional utiliza prácticas tradicionales para llevar a cabo la infección (por ejemplo, falsos accesos directos o ficheros de ejecución automática), este nuevo troyano hace uso de aplicaciones portables para llevar a cabo su tarea. Cuando el usuario lleva en la memoria USB una aplicación portable, por ejemplo, Firefox o Notepad++, el troyano se configura automáticamente para que, al abrirla, este se inserte en la cadena de ejecución como un plugin o una librería, quedando así funcionando en segundo plano.

Además de la ingeniosa forma de ejecutarse, este troyano es capaz de evadir los análisis de los principales motores antivirus. Para ello hace uso de dos técnicas diferentes:

  • La primera de ellas es que los binarios están cifrados con un algoritmo AES de 128 bits.
  • La segunda de ellas es que el nombre de los archivos se genera aleatoriamente a partir de elementos criptográficos, por lo que no pueden “deducirse”.

La clave de cifrado se calcula a partir del identificador ID único de la memoria USB donde se aloja, por lo que el código de cada troyano es único, aunque eso conlleva a que este también solo podrá ser ejecutado desde esa única memoria, y no infectar otras memorias USB ni otras plataformas. De esta manera, los motores antivirus no pueden detectar el malware analizándolo ni por comportamiento ni por nombre de archivo. Además, este también queda protegido de la ingeniería inversa.

El malware está formado por 4 ejecutables y dos archivos de configuración, los cuales se ejecutan de la siguiente manera:

Primer binario -loader: Este primer loader busca engañar al usuario para que lo ejecute (haciéndose pasar por una aplicación portable). También comprueba que se está ejecutando en una memoria USB y que esta no está protegida contra escritura, ya que los datos se almacenan en ella.

Segundo binario -loader: Este segundo loader utiliza el hash generado con el primer loader para ejecutarse y cargar el primer archivo de configuración. A su vez controla que el malware no se ejecuta sobre un depurador, finalizando en caso de que el proceso padre no sea el original.

Tercer binario -loader: Este tercer loader, cargado a partir de los datos del segundo, se encarga de comprobar si hay un antivirus en el sistema. De ser así se detiene automáticamente. Si todo es correcto, este loader carga el segundo fichero de configuración y hace la llamada al troyano en sí.

Cuarto binario – Troyano: Este cuarto binario es el troyano en sí. Cuando el tercer loader hace la llamada, este inyecta la función de robo de datos en el proceso “%windir%\system32\svchost.exe -k netsvcs” y comienza ya a recopilarlos todos, guardándolos en la memoria USB desde la que se está ejecutando bajo un identificador único calculado según los datos del ordenador de la víctima.

Como podemos ver, USB Thief está especialmente enfocado a ordenadores que no están conectados a Internet, ya que se requiere acceso físico al equipo o servidor. Además, al ser totalmente portable, no deja ni una sola evidencia de que ha estado ahí, es totalmente invisible.

Mientras que este troyano se centra principalmente en el robo de datos personales, los expertos de seguridad aseguran que sería muy sencillo implementar otras finalidades, por ejemplo, habilitar una puerta trasera o la instalación de un segundo troyano mucho más agresivo y peligroso que el primero

Shadow77

#HackNic

Fuentes: http://www.welivesecurity.com/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *