Noticias

Bookworm, el troyano que se disfraza de antivirus

scanner-de-negativos-posee-un-virus-preinstalado

Un nuevo tipo de troyano se disfraza de aplicación de seguridad de Microsoft o de Kaspersky para infectar ordenadores

Esta amenaza está formada por un fichero de texto que posee contenido cifrado. Este corresponde con unas librerías DLL que son cifradas utilizando el algoritmo XOR. Este archivo generado junto con algunas librerías dinámicas y otros ejecutables se empaquetan para formar parte del instalador de la amenaza. Cuando el usuario ejecuta este archivo se produce la extracción de todos los archivos comprimidos y comienza la instalación del troyano.

Por ahora, se ha visto en campañas de un grupo de APT —Advanced Persisten Threat— que tiene su base de acción fundamentalmente en Tailandia.

Una ves infectado el equipo se autoarranca y busca archivos de extensión EXEs ya sea de Microsoft Malware Protection o de Kaspersky Anti-Virus, o los dos. Cuando los localiza, entonces la extensión EXE infectado carga las DLL en los productos de seguridad, y los permisos de estas aplicaciones se usan para que el malware se instale disfrazado de aplicación de Microsoft.

Bookworm ahora posee los permisos necesarios para instalarse en el equipo sin ningún problema, estableciendo comunicaciones con el servidor de control remoto para recibir órdenes y conocer qué elementos debe instalar.

Cuando se aprovecha de este fallo, Bookworm extrae y carga otros módulos presentes en el archivo readme. También empieza a comunicar con el servidor C&C y envía datos del dispositivo infectado al mismo. Lo que los investigadores no han mencionado son los tipos de módulos que Bookworm carga o descarga, debido a que su investigación se vio dificultada por el propio malware, que usa cuatro algoritmos de cifrado para comunicarse con el servidor C&C.

Este troyano es es capaz de autoinstalarse debido a que puede funcionar en múltiples capas de un sistema operativo, y es muy difícil de identificar.

Click to comment
To Top