Inteligencia Artificial al ataque

Inteligencia Artificial al ataque

La IA está generando una nueva clase de virus que infectan “accidentalmente” a gusanos, creando cepas súper potentes de malwares híbridos.

Hace diez años, había una clara distinción entre troyanos, virus y gusanos. Todos ellos tenían sus propias características específicas de una familia de programas maliciosos. A medida que más personas se fueron conectando a internet, los ciber-criminales empezaron a mezclar los ingredientes para maximizar el impacto de sus actos. Así ha nacido una nueva práctica de desarrollo de malware (sistemas maliciosos) que se trata de virus que infectan a otros malware como gusanos y así convertir el producto resultante en una herramienta mucho más eficaz para cometer daño. Pero, al parecer esto se ha ido de las manos de los programadores y ahora son las propios sistemas los que se regeneran, no intencionalmente sino casualmente!.

Si, por error, o por arte de la naturaleza (que aunque muchos no lo crean cada vez tiene más que ver con el desarrollo informático), se ha descubierto recientemente que por accidentalmente a nacido un nuevo tipo de parásitos digital, y se lo ha bautizado con el nombre “frankenmalware”. El funcionamiento de este parásito es algo así: Un virus infecta los archivos ejecutables, y un gusano es un archivo ejecutable. Si el virus llega a una PC ya comprometida por un gusano, el virus infectará a los archivos .exe en esa PC, incluyendo el gusano. Cuando el gusano se propaga, se llevan el virus consigo. A pesar de que esto ocurre sin intención, las características combinadas de las dos piezas de malware causarían mucho más daño que los creados intencionalmente.

Mientras que la mayoría de los virus que infectan archivos han incorporado mecanismos de propagación, al igual que los troyanos y gusanos (la difusión de las rutinas de RDP, USB, P2P, aplicaciones de chat o redes sociales), algunos no se pueden reproducir o difundir entre los equipos. Y parece una gran idea “externalizar” el mecanismo de transporte a una parte diferente de malware (es decir, montándose a un gusano).

BitDefender laboratorio antimalware ha identificado no menos de 40.000 programas maliciosos, simbiosis o mutantes, de un conjunto de muestras de 10 millones de archivos. Uno de estos casos es Virtob, cuyo código malicioso se ha encontrado infectando a los gusanos como OnLineGames, el antiguo Mydoom o el más avanzado troyano de puerta trasera Bifrose.

Win32.Worm.Rimecud un ejemplo de estudio

Win32.Worm.Rimecud es el típico gusano con un avanzado aparato de técnica de programación, que para su propagación utiliza aplicaciones para compartir archivos (Ares P2P, BearShare, iMesh, Shareaza. Kazaa, DC + +, eMule, LimeWire), dispositivos USB, Microsoft MSN Messenger (envía todos los enlaces contactos a los sitios que alojan malware) y la red de las unidades asignadas a nivel local. Una vez en el sistema, Rimecud inyecta su código en explorer.exe roba las contraseñas relacionadas con la banca electrónica, cuentas en línea de compras, redes sociales o correo electrónico de Mozilla Firefox e Internet Explorer. Mientras tanto su componente de puerta trasera le permite conectarse a los servidores C & C a buscar comandos tales como inundaciones, descargar y ejecutar programas maliciosos en la PC dejando a la PC infectada aún más comprometida. Además de eso, el gusano busca un servidor VNC (software de control remoto) que permita el acceso del atacante y el control remoto de la PC comprometida.

Algunos detalles sobre Win32.Virtob

Los laboratorios de BitDefender han visto recientemente un adjunto que infecta archivos con el gusano mencionado “Win32.Virtob”. Este virus se sabe que infecta ficheros ejecutables con extensión. Exe o. Scr mediante la colocación de una pieza de código malicioso a los archivos. El gusano es un archivo ejecutable y lo más probable es que también se infecte por el virus si está expuesto en el mismo equipo. Virtob a continuación, indica a los archivos ejecutables comprometido ejecutar en primer lugar el código del virus (al cambiar el punto de entrada) y sólo después le da el control al archivo original. Ciertamente esto se aplica también a los gusanos – el código se ejecuta sólo después de que el código del virus se ha puesto en marcha. Cuando el código se ha cargado en la memoria, Virtob se conecta a dos servidores de IRC que en realidad son servidores C & C, y con la ayuda de su componente de puerta trasera, el virus está listo para recibir comandos de un atacante remoto a través de Internet.

Mediante la inyección de código en su winlogon.exe y luego de agregar este proceso a la lista de excepciones del firewall, el virus se asegura de que tiene acceso total a la Internet y asegura su persistencia. Winlogon es un proceso crítico que, si se termina, se bloqueará la PC. Posteriormente, se infectan archivos HTML, HTM, PHP, ASP mediante la inyección de IFrames que en silencio van cargando malwares al contenido de las páginas web que se visitan.

Ahora, imagine estas dos piezas de malware trabajando juntas, voluntariamente o no, y en el mismo sistema comprometido. Se está en presencia de un malware doble comando con el doble de servidores de control y para consultar las instrucciones y, además, hay dos puertas traseras abiertas, dos ataques de técnicas activas y varios métodos de propagación. Cuando uno falla, el otro tiene éxito.

¿Las infecciones múltiples Frankenware son posibles?

Si, y como bien dice el una de las reglas de Murphy “si algo malo puede pasar seguramente pasará”.

Un escenario hipotético:

Imagina que un gusano es infectado por un virus, y un AntiVirus detecta el primer archivo infector y trata de desinfectar los archivos, que incluyen el gusano. En algunos casos la desinfección de archivos comprometidos deja archivos limpios que son al mismo tiempo alterados. Ellos mantienen su funcionalidad, pero son ligeramente diferentes en la forma al original. Como la mayoría de los archivos se detectan según las firmas y no en base a su comportamiento heurístico, un gusano alterados (desinfectado, junto con otros archivos que han sido comprometidos por un archivo infector y desinfectados por un antivirus) no puede ser atrapado ya por la firma aplicada en el archivo original (que había sido modificado después de la desinfección). La desinfección puede de esta manera dar lugar a una mutación que puede ayudar realmente a los gusanos y así generar un mal mayor!.

El monstruo de malware se propaga más rápido que antes, afecta a los sistemas peor que nunca, y expone datos privados en formas nunca antes vistas por los escritores originales de virus.

Este artículo se basa en la información técnica proporcionada por Doina Cosovan y Benchea R?zvan, analistas de virus en Bitdefender. El artículo original fue escrito en inglés y pido disculpas por mi traducción al español.