Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Empresa italiana implicada en ataques de malware GuLoader

Al rastrear una nueva amenaza de seguridad conocida como «GuLoader», los investigadores de Check Point Software Technologies descubrieron más que un simple instalador de software malicioso.

GuLoader ha estado en el radar de varios proveedores de seguridad este año. Según un nuevo informe de esta semana, Check Point Research dijo que el instalador o cuentagotas de red «se ha distribuido de forma muy activa en 2020 y se utiliza para distribuir malware con la ayuda de servicios en la nube como Google Drive», con cientos de ataques que utilizan GuLoader observado todos los días.

Una investigación sobre GuLoader llevó al proveedor de seguridad al sitio web de una empresa italiana de software de seguridad que ofrecía un producto llamado CloudEye. Si bien sus operaciones y el sitio web de clearnet parecían legítimos, ya que proporcionaban software para proteger las aplicaciones de Windows, en realidad venden un producto comparable a GuLoader e indetectable para el software antivirus, según Check Point.

En su informe titulado «¿GuLoader? No, CloudEye», Check Point estima que la empresa italiana obtiene unos ingresos mensuales de 500.000 dólares por ventas a los ciberdelincuentes. Y, según Maya Levine, ingeniera de marketing técnico de Check Point para seguridad en la nube, ha sido una empresa italiana registrada legalmente que opera un sitio web disponible públicamente durante años. Esta forma de ventas es inusual porque los atacantes comúnmente hacen sus negocios en la web oscura, dijo Levine. Aunque no se esconden en la web oscura, encontrar CloudEye no fue un proceso simple.

«Mientras monitoreábamos GuLoader, encontramos repetidamente muestras que nuestros sistemas detectaron como GuLoader, pero no tenían la URL para descargar la carga útil», dijo Levine. «Cuando lo miramos manualmente y lo analizamos, encontramos que la carga útil está incrustada en la muestra. Era ligeramente diferente a GuLoader, era algo llamado DarkEye».

Ojo oscuro
La compañía italiana que ofrece CloudEye vendió anteriormente el producto como DarkEye Protector, que los investigadores de Check Point conectaron al gotero de malware GuLoader.

Después de una búsqueda de DarkEye en la web oscura, los investigadores de Check Point encontraron múltiples anuncios que lo describían como un cifrador que podría usarse con una variedad de malware que lo haría completamente indetectable para los antivirus. Una mirada más cercana a quién publicó los anuncios llevó a un sitio web cuya URL se mencionaba en los anuncios.

[CloudEye] pretendían ser legítimos y honestos, pero venden básicamente lo mismo que GuLoader.
Maya LevineIngeniero de marketing técnico para seguridad en la nube, Check Point Software Technologies

«Estaba conectado a DarkEye pero estaba vendiendo un producto al que llamaron CloudEye. Fingieron ser legítimos y honestos, pero están vendiendo básicamente lo mismo que GuLoader», dijo Levine. «Cuando miramos la muestra de CloudEye y la misma que teníamos para GuLoader, la encontramos casi idéntica. La única diferencia provino de las técnicas de aleatorización de código, pero la información importante real en el código, las funciones de importación, eran todas idénticas».

El informe de Check Point citaba el sitio web de CloudEye, que afirma que «¡DarkEye evolucionó a CloudEye! ¡Próxima generación de protección de ejecutables de Windows!» Las versiones anteriores del sitio web en Wayback Machine de Internet Archive muestran que la compañía se llamaba anteriormente DarkEye.

Check Point no solo descubrió que CloudEye estaba ofreciendo un descargador de productos básicos sorprendentemente similar a GuLoader, sino que también proporcionó tutoriales en video en su sitio web sobre cómo usarlo.

«Básicamente, lo que están vendiendo es la capacidad de eludir la comprobación de antivirus de la unidad en la nube porque Google y todos esos [cloud services] no le permiten cargar software malicioso. Lo que están vendiendo utiliza técnicas para evitar ser detectados por muchos de estos productos de seguridad «, dijo Levine.

CloudEye y ataques basados ​​en la nube

Una nueva tendencia es lo que impulsó inicialmente la investigación de Check Point sobre GuLoader. A principios de este año, el proveedor de seguridad determinó que la entrega de malware a través de unidades en la nube es una de las tendencias de más rápido crecimiento de 2020. La investigación de la tendencia condujo al descubrimiento de GuLoader, que se ha vuelto muy frecuente en el panorama de amenazas, dijo Levine. . Según Levine, hasta el 25% de todas las muestras de malware empaquetadas son GuLoader.

«Observamos cómo suelen funcionar estos ataques. Por lo general, hay un cuentagotas que se envía en forma de correo electrónico, correos electrónicos no deseados, que tienen un archivo adjunto incrustado. Un archivo ISO tiene el ejecutable malicioso y luego ese cuentagotas descargará la carga útil maliciosa de un pozo -conocido servicio en la nube y ejecutarlo «, dijo Levine.

El proveedor de seguridad de correo electrónico Proofpoint también ha estado rastreando GuLoader. Los investigadores observaron por primera vez que se usaba en diciembre de 2019 para entregar Parallax RAT y comenzaron a investigar el malware junto con esa investigación. Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint, dice que GuLoader es interesante por tres razones.

«En primer lugar, está escrito en Visual Basic 6.0, una versión de Visual Basic que Microsoft dejó de admitir en 2008. En segundo lugar, descubrimos que, si bien era nuevo, varios actores de amenazas lo estaban adoptando muy rápidamente. En tercer lugar, almacena sus cargas útiles cifradas en Google Drive o Microsoft OneDrive, lo que demuestra que los actores de amenazas están aprovechando la nube al igual que las empresas «, dijo DeGrippo.

Una de las razones por las que los atacantes están recurriendo a este método de entrega de malware es el hecho de que puede engañar a muchos humanos y a muchos firewalls, dijo Levine.

«Si los humanos observan la actividad de la red y todo lo que ven es Google Drive, probablemente descartarán esa actividad como legítima aunque se esté contactando con Google Drive para descargar algo malicioso», dijo Levine. «Lo mismo ocurre con los firewalls, porque las firmas antivirus no siempre se distribuyen a diario; a veces es semanal, por lo que hay un retraso que este tipo de ataques podría aprovechar».

Evasión y disfraces

Esconderse bajo un frente legítimo no es la única parte disimulada del cuentagotas CloudEye.

«Hay un correo electrónico no deseado con un archivo adjunto incrustado; generalmente es un archivo ISO con el ejecutable malicioso, y luego disfrazan la carga útil como una imagen. La clave aquí es que está encriptado mientras está en el almacenamiento en la nube; solo se desencripta en el máquina «, dijo Levine. «Y eso hace que el host en la nube no pueda iniciar la carga útil maliciosa porque está descifrada mientras está en sus servidores, por lo que realmente no saben qué es».

El archivo de imagen puede aparecer como una citación del jurado, por ejemplo. Una vez que se abre y se activa el cuentagotas, recupera la carga útil del malware y solo la almacena en la memoria, dijo Levine.

Si bien existe alguna tecnología como el sandboxing que detectará estos droppers maliciosos, Levine dijo que CloudEye ha sido un denominador común en miles de ataques durante el año pasado.

Si bien esta instancia de actores de amenazas que hacen frente a una empresa «falsa» no es muy común, el jefe de investigación cibernética de Check Point, Yaniv Balmas, dice que no es el primer caso en el que una herramienta de ciberdelincuencia se vende públicamente en Internet.

«En la mayoría de los casos, es muy difícil vincular la herramienta a una empresa específica oa una persona específica. En este caso, sin embargo, parece que la cantidad de conexiones que encontramos vinculando este sitio al ‘mundo real’ fue significativa. Esto podría significar los propietarios no están preocupados por ser expuestos, ya que probablemente creen que la ‘cobertura de legitimidad’ les está proporcionando el paraguas legal requerido que les permite continuar con sus acciones incluso si se llevarán a la luz pública «, dijo Balmas. «La triste realidad es que pueden tener razón».

SearchSecurity se puso en contacto con CloudEye para solicitar comentarios, pero la empresa no respondió. Los intentos de Check Point para llegar a CloudEye tampoco tuvieron éxito.

El sitio web de CloudEye se actualizó el miércoles con una declaración de Sebastiano Dragna e Ivano Mancini, quienes fueron nombrados en el informe de Check Point:

«Aprendimos de la prensa que los usuarios desprevenidos usarían nuestra plataforma para perpetrar abusos de todo tipo. Nuestro software de protección fue creado y desarrollado para proteger las obras intelectuales del abuso de los piratas informáticos y sus afiliados, no para sembrar malware en la red. No estamos seguros de que lo que informan los medios sea cierto, creemos oportuno suspender nuestro servicio por tiempo indefinido. Somos dos jóvenes emprendedores, apasionados por la seguridad informática y nuestro objetivo es enriquecer a la comunidad científica con nuestros servicios, no permitir un uso distorsionado de nuestro trabajo intelectual. Agradecemos a todos nuestros clientes, que han utilizado legalmente nuestros servicios desde 2015. Los clientes serán reembolsados ​​por los días de licencia comprados y no utilizados. Para más información contáctenos por correo electrónico [email protected], recibirá una respuesta en un plazo de 24 horas «.

También te puede interesar...

¿Qué es la lista de acceso (AL)?

Una lista de acceso (AL) es una lista de permisos que se utilizan en seguridad física y de tecnología de la información (TI) para controlar a quién se le permite el contacto con un activo

SAP Upscale Commerce se reinicia

SAP ha apostado a que un cambio de imagen de Upscale Commerce, su paquete SaaS de 3 años que compite con Shopify, atraerá a más empresas emergentes de marcas en línea y usuarios del mercado

IoT y el futuro del transporte

Imagínese un mundo en el que su automóvil monitorea su viaje diario por la mañana mientras está estacionado de manera segura en la entrada de su casa. En una mañana en particular, detecta una colisión

Elegir entre métodos de virtualización del kernel

Conclusión del proveedor de soluciones: Los proveedores de soluciones tienen algunas opciones cuando utilizan la virtualización del kernel, y este extracto del capítulo explica lo que debe hacer para satisfacer las necesidades de virtualización de

Implementación de recuperación ante desastres con Hyper-V

La implementación de la recuperación ante desastres requiere una planificación precisa y numerosos componentes interconectados. Una vez que haya elaborado la logística de recuperación ante desastres como se describe en las partes uno y dos

Gestión ágil de proyectos utilizando el marco Cynefin

Los gerentes y líderes de proyectos a menudo tienen dificultades para determinar cómo abordar un problema. ¿Cuáles son las herramientas de ALM adecuadas? ¿Qué metodología de desarrollo de software es la más adecuada? El marco

Sin seguridad inteligente sin protocolos de IoT

La seguridad moderna para el hogar inteligente debe gran parte de su éxito a los avances en los protocolos de IoT. Estos canales de comunicación mejoran la interoperabilidad y permiten que miles de dispositivos “hablen”

¿Qué es el malware? Definición de SearchSecurity

¿Qué es el malware? Malware, o software malicioso, es cualquier programa o archivo que sea intencionalmente dañino para una computadora, red o servidor. Los tipos de malware incluyen virus informáticos, gusanos, troyanos, ransomware y spyware.

7 errores de IoT para evitar

Los sistemas de IoT se presentarán en un momento u otro a muchas organizaciones. Existen algunas características clave de una implementación exitosa de IoT, como asociaciones en toda su organización, fácil administración de dispositivos e

El CEO de Citrix aborda los ‘rumores’ de venta

A pesar de la noticia de que la compañía está explorando una venta, Citrix sigue adelante con un enfoque renovado en sus tecnologías informáticas básicas para el usuario final. El mes pasado, Citrix contrató los

Llegan nuevos controles de zoom de Win10

Aquí hay una característica interesante que acaba de aparecer en la última vista previa interna (compilación 18272). Si mantiene presionada la tecla Control (CTRL) y usa controles extensibles, puede reducir o aumentar las ventanas de

Foco en análisis de datos e inteligencia artificial

Nota del editor Al igual que otros importantes proveedores de TI, IBM ha hecho de la inteligencia artificial y la analítica avanzada una piedra angular de su estrategia tecnológica, junto con los sistemas de gestión

Ford impulsa IoT con su estrategia de automóvil conectado

Ford dio una presentación realmente reveladora a los inversionistas el 14 de septiembre. Cuando digo «reveladora», lo digo en serio porque brindó una inmersión en profundidad en su futura estrategia de automóvil conectado, que abarca

¿Qué es Bluetooth 4.0? – Definición de Krypton Solid

Bluetooth 4.0 es una versión del estándar de red inalámbrica Bluetooth que consume menos energía que sus predecesores. Bluetooth 4.0 permite que los dispositivos pequeños con necesidades de batería prolongadas, como los rastreadores de actividad

5 lecciones de ciberseguridad de la brecha de SolarWinds

Los equipos forenses todavía están investigando cómo los piratas informáticos pudieron explotar el sistema de parches de SolarWinds para atacar numerosas organizaciones comerciales y gubernamentales de alto perfil, incluidos Microsoft y el Departamento de Justicia

¿Qué es escasez y densidad?

La dispersión y la densidad son términos que se utilizan para describir el porcentaje de celdas en una tabla de base de datos que no están pobladas y no están pobladas, respectivamente. La suma de

¿Qué es VersaStack? – Definición de Krypton Solid

VersaStack es una arquitectura de referencia de infraestructura convergente desarrollada como un esfuerzo de colaboración de IBM y Cisco. Una arquitectura de referencia de infraestructura convergente (CI) es un documento que especifica el diseño, los

Deja un comentario