Descubierto un crypter ampliamente utilizado por los principales malwares desde 2016

Guardar

Bugs como símbolo de malware
Bugs como símbolo de malware

Los investigadores del Laboratorio de Amenazas de Avast (Avast Threat Labs) han descubierto un crypter que ha sido ampliamente utilizado desde 2016 por algunas de las familias de malware más conocidas y prevalentes, como Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader, entre otras.

La compañía de ciberseguridad ha informado sobre ello, tanto a través de un comunicado como de su blog y de una publicación que ofrece detalles técnicos, en los que comparte las claves de este hallazgo realizado por sus investigadores.

Según comienza indicando, los malware actuales están formados por muchos componentes que le permiten funcionar. Para comprender su funcionamiento lo compara con un coche, que necesita de muchos componentes diferentes para poder circular correctamente: motor, volante, neumáticos... "En el caso del malware, uno de estos componentes clave es el denominado 'crypter' (cifrador), herramienta utilizada para ocultar partes maliciosas del código mediante el cifrado con el objetivo de parecer inofensivo y más difícil de leer", señala.

Avast continúa subrayando que para un creador de malware, un cifrador es una herramienta importante para contrarrestar las protecciones contra el malware. Por otra parte, desde el punto de vista de un investigador, afirma que ser capaz de identificar un crypter ayuda a detectar mejor y más rápidamente el nuevo malware cuando éste tiene este componente.

OnionCrypter

En los últimos tres años, Avast ha protegido del malware que utiliza el crypter detectado a casi 400.000 usuarios en todo el mundo. La compañía ha denominado a este cifrador como OnionCryper y explica que ha elegido este nombre "porque utiliza múltiples técnicas para dificultar a los investigadores, antivirus y software de seguridad la lectura de la información que protege, ocultando la información dentro de las 'capas de cebolla' de su cifrado".

"Es importante tener en cuenta que el nombre refleja las múltiples capas que utiliza este cifrador, y que no tiene ninguna relación con el navegador o la red TOR", aclara.

Debido al tiempo que lleva OnionCrypter en el mercado y a su amplio uso, la firma de ciberseguridad apunta que los investigadores creen que los autores de OnionCrypter lo ofrecen como servicio.