¿Cuándo encontramos el malware en ficheros atípicos y cuándo lo encontramos en formatos comunes? ¿De qué depende la elección del formato de un malware? En la actualidad, los programas maliciosos pueden ser altamente avanzados y complejos. Por eso, sus desarrolladores utilizan diferentes estrategias para evadir los sistemas de ciberseguridad tradicionales.
Etapas de una infección con malware
En los ciberataques modernos, casi nunca se descarga un malware como tal desde un archivo adjunto en un correo electrónico o una dirección URL maliciosa. Normalmente, las infecciones con malware se dan en diferentes etapas, con el fin de evadir los esquemas de protección de los sistemas. Por eso, en las diferentes fases, se utilizan diferentes tipos de fichero para introducir el malware en el equipo o la red del objetivo.
Las etapas de una infección con un malware avanzado pueden variar, pero suelen incluir los siguientes pasos:
- Descarga de un archivo ofimático con macro virus o de un virus troyano.
- Conexión con un servidor de comando y control malicioso manejado por los ciberatacantes.
- Descarga de un malware que bloquea o elimina los programas de antivirus.
- Descarga del malware final (posiblemente un ransomware o un spyware).
A continuación, explicaremos en cuál de las etapas es común encontrar el malware en ficheros atípicos y por qué. Asimismo, hablaremos de las demás fases y qué otros formatos de archivo suelen utilizarse.
Malware en ficheros atípicos
El malware en ficheros atípicos es común de observar en las etapas posteriores o finales de la infección, ya que suele corresponder a los malwares que contienen las tareas maliciosas más importantes del ciberataque. Estos malwares se ejecutan al final del proceso de la infección y utilizan formatos inusuales o desconocidos como estrategia para evadir sistemas de ciberseguridad.
La razón por la cual los malwares modernos utilizan formatos atípicos para evadir sistemas de seguridad,es que este tipo de formatos no suelen figurar en las bases de datos de los programas de análisis de malware. Tanto los antivirus como los EndPoint Detection & Response inicialmente funcionan comparando los ficheros con diferentes firmas en bases de datos locales y públicas. Por esta razón, los formatos conocidos pueden ser fácilmente identificados.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaNo obstante, no es durante todas las etapas de una infección que los archivos maliciosos se encuentran en ficheros atípicos. En las fases iniciales es común observar que se usen archivos ofimáticos, es decir, PDF, DOC o XLS, entre otros.
Ataque con macro virus
Para entender cuándo es posible que se presente el malware en ficheros atípicos y cuándo no, es necesario tener presente que todo software malicioso necesita, primero, un vector de ataque para llegar al usuario. Por eso, en etapas iniciales de la infección, solemos encontrarnos con formatos conocidos como:
- PDF.
- DOCX.
- XLSX.
- JavaScript.
- ShellScript.
Estos documentos pueden incluir macros o inyección de código y no ser detectados por los sistemas de antivirus, ya que no contienen el malware, sino una simple instrucción de conectarse a un servidor y descargar un fichero. Los macros son programas escritos en VisualBasic, que se encuentran incrustados en los documentos ofimáticos y se activan cuando un usuario hace clic en el botón Habilitar edición.
Usualmente, cuando se ejecuta una macro, el documento recibe instrucciones de formato que no tienen ningún impacto negativo para el sistema. No obstante, estos programas pueden usarse para ejecutar código malicioso cada vez que un usuario abra el documento y habilite la edición del mismo. Con la debida ofuscación de código y los debidos comandos, los documentos ofimáticos son un vector de ataque viable para los hackers maliciosos.
Conexión a una botnet
El malware en ficheros atípicos vendrá en esta siguiente fase de la infección, cuando el vector de ataque ya haya sido utilizado para ingresar al sistema del usuario. Después de ello, desde un servidor de comando y control malicioso, los atacantes pueden darle instrucciones al ordenador infectado para que descargue un malware con sistema anti-AV. Es decir, un programa que escanee y elimine los sistemas de defensa del ordenador.
Finalmente, desde el mismo servidor se descargará la última muestra de malware, que tendrá el propósito usualmente de perpetrar las tareas maliciosas más dañinas del ataque. El formato de este fichero, como mencionamos anteriormente, tenderá a ser desconocido para evitar que, después, los investigadores de software lo analicen fácilmente en sus entornos virtuales.
¿Cómo aprender más?
Ya has aprendido en qué ocasiones se encuentra el malware en ficheros atípicos o, por el contrario, en formatos comunes. Si quieres saber más y convertirte en un analista de malware experto, en KeepCoding tenemos la formación ideal para ti. Entra a nuestro Bootcamp de Ciberseguridad y especialízate en tan solo 7 meses. ¡Reserva tu plaza ahora!