Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable
Prof. Dr. Javier Areitio Bertolín. Director del Grupo de Investigación Redes y Sistemas, Universidad de Deusto
01/03/2021El malware (acrónimo de las palabras: malicious software firmware hardware) es un agente-objeto-herramienta de ciberataque, una ciber-amenaza y una ciber-arma de infección sin restricciones y con ganancia de funciones. El malware puede producir daño físico (personas, seres vivos, recursos físicos, robos), daño en software, firmware y hardware, interrupción de procesos, daño funcional, daños en redes (incluso saturación por DDoS), espionaje (de todo tipo: de texto, código, audio-visual, de voz y de imágenes comprometiendo la ciberseguridad de carpetas, ficheros, datos, micrófonos, cámaras Web, etc.), alteración de la forma de funcionar de un dispositivo-sistema-infraestructura (y daño al medio ambiente), daño mental-fisiológico (trastorno psiquiátrico, epilepsia, ciber-sumisión, control de la voluntad, ataque al corazón, mareos, muerte, etc.), etc., es capaz de ciber-atacar cada vez de forma más sofisticada (basada en inteligencia artificial), más precisa, más persistente, sin ser detectado que puede hacerlo tanto de forma autónoma como guiada por canales esteganográficos, subliminares, C&C). Actualmente el malware es un agente de infección muy evolucionado, es elevadamente persistente, es multifuncional, muy difícil de detectar, asintomático, x-mórfico (con capacidad de mutación y que genera variantes de escape inimaginables, cambia de forma utilizando infinidad de métodos “x” como: poli-, meta-, oligo-, etc.), utiliza inteligencia artificial avanzada, emplea procesos de sacrificio (que se dejan detectar, inactivar, eliminar, desinfectar, colocar en cuarentena, etc. cuando se le trata de eliminar al malware pero que no suprimen las múltiples raíces/semillas redundantes del malware propiamente dicho que previamente a dispersado como mecanismo de supervivencia). La naturaleza del malware puede ser:
- Software basado en conjuntos de instrucciones, programas o código malicioso. Caso de los gusanos, troyanos software, backdoors, virus, spyware, ransomware, APTs (Advanced Persistent Threats) como Stuxnet, etc.
- Firmware basado en conjuntos de microinstrucciones. Caso de los micro-programas maliciosos en CPUs, microprocesadores, etc.
- Hardware. Caso de los circuitos electrónicos patológicos-maliciosos como los troyanos hardware que pueden producir acciones no deseadas en hardware como dispositivos falsificados-clonados, obsolescencia programada, fallos funcionales, operativos, etc.
Los objetivos del malware pueden ser muy variados, por ejemplo, específicos, dirigidos, globales (a todos), etc., ciber-atacan a todo el mundo civiles, militares, finanzas, industrias, empresas, infraestructuras críticas, etc. Actualmente cuando el malware asintomático lo desea, permite que su infección presente los siguientes síntomas: pérdida de datos inexplicable, comportamiento errático del dispositivo de computación, bajo rendimiento del dispositivo de computación (el uso porcentual de la CPU se eleva significativamente), elevación de la temperatura del dispositivo, menor duración de la carga de la batería, frecuentes caídas o apagones del dispositivo de computación, la pantalla de “muerte” en azul, etc. El malware es un agente con capacidad de supervivencia que puede violar todos los niveles de privilegios de acceso desde los de menos privilegios hasta el de más privilegio, es decir, las aplicaciones y APPs, el sistema de ficheros-carpetas, los servicios, los drivers, etc. hasta llegar al kernel del sistema operativo situado en el centro-núcleo. Algunas de las claves para defenderse del malware son la anticipación, no bajar la guardia, la preparación eficiente, el empleo de grupos de herramientas profesionales, la formación en profundidad que deje huella.
Vectores y modos de infección malware
Los vectores de infección son técnicas utilizadas para hacer llegar el malware a los dispositivos de computación de las víctimas u objetivos e infectarlos. Existen múltiples vectores de infección y modos de transportar, difundir, contagiar malware:
- Conectar un medio de almacenamiento removible infectado como un pen-drive/flash-drive USB, CDROM, DVD, disco externo, etc. dejado a nuestro alcance, cedido por un compañero de trabajo, familiar, amigo, etc. o que encontramos en nuestro despacho con una nota falsificada de una persona que conocemos o un regalo de una empresa supuestamente conocida.
- Hacer clic en un link (de un correo electrónico, red social, etc.) o pulsar cualquier botón (cerrar-salir, quedarse, aceptar y el aspa X) en una pantalla emergente o pop-up.
- Trabajando con sistemas de ficheros compartidos y utilizando redes de compartición de ficheros P2P (Peer-to-Peer). Al compartir música, juegos, ficheros, fotos, etc. con otros usuarios.
- Descargar y abrir ficheros adjuntos, por ejemplo, de correo electrónico u otros servicios de Internet. Descargar aplicaciones software y APPs sin leer los acuerdos de licencia que muchas veces indican cosas inadmisibles. Por actuar o descargar ficheros con extensión.dll infectados es el caso del fichero pepflashplayer.dll infectado.
- Descargar y ejecutar/abrir software/aplicaciones/ficheros troyanizados (de herramientas, productos, aplicaciones que podemos necesitar) de sitios Web de Internet “supuestamente de confianza” que creemos no están infectados. Descargando software como juegos gratuitos, barras de herramientas, “media players”, complementos o plugins y otras utilidades del sistema. El software troyanizado es software infectado y redistribuido. Las fuentes son repositorios de software centralizados (almacenamientos no oficiales de APPs e incluso algunos sitios oficiales como APP-Store y Google-Play), distribuidores o vendedores oficiales infectados (caso del malware 'havex RAT'). Como prevención impedir que los empleados puedan descargar e instalar su propio software nuevo.
- Trabajar con confianza desmesurada. Actualmente se debe aplicar la técnica del 'Zero Trust' exigiendo la identidad, autenticación multi-factor y autorizacion de todo aquello con lo que interactuemos o nos conectemos. Trabajar con asistentes personales virtuales de voz infectados con malware como Cortana (de Microsoft), Siri (de Appple), Google Assistant/Google Now (de Google), Alexa (de Amazon), Celia (de Huawei), Bixby (de Samsung), Sofía (de Tudex Networks), Jarvis (de GStech), Hound (de SoundHound Inc.), Dragon Mobile Assistant (de Nuance Communications), etc.
- Infectarse con exploit en navegadores Web (no descargar plugins a browsers o plugins desactualizados en browsers).
- Recargar la batería de nuestro smartphone en una toma pública ya que en muchos casos además de recargar nuestra batería tienen acceso por el canal de datos a nuestras carpetas e información contenida dentro de nuestro smartphone.
- Tan sólo por visitar un sitio Web infectado, escribiendo su URL o escaneando un código QR malicioso. A veces tras escribir una URL, en principio no peligrosa, se nos redirecciona a un sitio Web infectado y quedamos infectados.
- Abrir un correo electrónico spam o un fichero adjunto transportado.
- Las MDN (Malware Distribution Networks) propagan y difunden el malware a través de Internet (IoE, IoT, IIoT, nubes públicas y privadas con tecnologías como cloud-computing, fog-computing, edge-computing, etc.). En estas redes se utilizan enlaces o links de redirección para reenviar automáticamente a los usuarios a los sitios Web infectados sin necesidad de que el usuario haga clic en hiper-links de modo que el usuario no sabe el camino que le ha llevado a esos sitios Web infectados.
- Las redes sociales online presentan distribución de malware vía interacción entre usuarios utilizando aplicaciones sociales online (como Facebook). Estas aplicaciones sociales online se utilizan como medio para la diseminación del malware y generan contaminación malware grave. Las MDN y las redes no maliciosas utilizan URLs de redirección. Las redes no maliciosas partiendo del sitio inicial redireccionan hasta alcanzar el sitio Web destino no infectado. En cambio, en las MDN partiendo del sitio inicial lo redireccionan hasta inyectar código exploit e infectar con malware incluso múltiples veces.
- Las infecciones malware masivas son las que se extienden a miles de sitios Web, pueden degenerar en ciber-pandemias globales o en crisis ciber-epidemiológicas devastadoras. El problema es que este tipo de infecciones pueden estar ocultas por ser el malware del tipo no detectable y asintomático. El punto de entrada común de las infecciones malware son las vulnerabilidades en el software desactualizado (sin parches por dejadez o porque el fabricante ya no envía por ser una versión muy antigua del sistema operativo, como Windows Vista). Puede conducir a infecciones secundarias (supongamos entornos de ficheros compartidos o en general de compartición e interacción múltiple). Existen problemas de infección en todos los entornos de hospedaje compartido y entre dispositivos que interaccionan con redes P2P.
- Riesgos por el hecho de operar con software de terceras partes son: inyecciones de spam, software infectado en la cadena de suministro (por ejemplo, móviles que vienen con Android infectado), puertas traseras, software pirateado, plugins secuestrados/abandonados, impacto en los negocios, malvertising (o malicious advertising se trata de esconder malware para infectar nuestros dispositivos de computación en los espacios de publicidad-anuncios de páginas Web. A diferencia del adware no hace falta una instalación por parte del usuario para infectarse simplemente con tener “plugins” en nuestro navegador Web u otro software de nuestro dispositivo desactualizado), la actualización del CMS (Content Management System) es importante, pero puede no ser suficiente (el CMS, está implicado en la creación, gestión y hacer públicos los contenidos de su sitio Web. Casi todos los sitios Web se basan en CMS y facilitan ciertos cambios en los contenidos del sitio sin complejidad. El CMS sirve como plataforma para soportar la creación de ficheros integrados, permite la navegación ininterrumpida, protege de ciertos ciber-ataques, etc.), etc. Los DGAs (Domain Generation Algorithms) son algoritmos utilizados para crear un elevadísimo número de nombres de dominio pseudo-aleatorios para ocultar servidores C&C (Command and Control) para el malware y evadir la detección. Como defensa se están utilizando RNNs (Recurrent Neural Networks) para identificar nombres de dominio de malware generados por DGAs.
- Conectarse a Wi-Fi públicas. Como contramedida utilizar tecnología VPN con proxies de anonimato.
- Phishing. Utiliza la ingeniería social para engañar al usuario y obligar que haga cosas inconcebibles. Permite infectar una red con gusanos e infectar dispositivos finales para capturar información sensible del personal engañado utilizando técnicas de ingeniería social, al que se le dice abra un fichero, haga clic en un link embebido en un mensaje (de correo electrónico, de mensajería instantánea o de un post de medios sociales). El spear-phishing (es un phishing dirigido) está más orientado a un cierto grupo de empleados (con nombres y apellidos investigados por Internet), es más convincente y el éxito de infección es mayor. Podemos protegernos contra el phishing bloqueando comunicaciones sospechosas con filtros de spam utilizando políticas adecuadas y educando a los usuarios/empleados. Como regla de oro, confirmar en persona o por teléfono si el mensaje recibido procede de la persona que dice ser.
- Watering holes. Se trata de infectar un sitio-página Web o recurso compartido utilizado por los empleados de una organización, inyectando malware en páginas Web de la red de la organización (home-page o sistema de time-tracking) para infectar los dispositivos de computación de los empleados cuando utilizan el sistema. Algunos anuncios embebidos en páginas YouTube han dirigido a direcciones secuestradas que contienen malware. Como defensa utilizar servidores modernos con antimalware profesional y con las actualizaciones y parches necesarios, realizar monitorización de los sistemas y observar modificaciones sospechosas de cualquier de los recursos que contienen o acceden
- Malvertising. Gran parte de Internet se basa en los anuncios-publicidad que proporcionan ingresos a muchos sitios Web. El malvertising consiste en inyectar ciertas características a los anuncios en forma de scripts activos, contenido interactivo, embebiendo malware en los anuncios incluso de sitios Web con reputación, infectando a los usuarios utilizando un kit de exploit procedente incluso de páginas inocuas. Como defensa utilizar bloqueadores de scripts, filtros de anuncios, uso de whitelisting de sitios Web a través de firewall que impida el acceso a páginas no confiables, ADBLockers, etc.
Ciber-forensia malware. Proceso de respuesta a los ciber-incidentes malware
La ciber-forensia malware es un tipo de ciber-forensia centrado en el malware cuyo proceso consta de cinco etapas: examen del malware (si se puede), identificación del malware (si se puede), inutilizarlo/inactivarlo con métodos específicos, extracción del malware y deducir el conjunto de funciones maliciosas que integra. Este proceso presenta diversos desafíos como la no detectabilidad ya que el malware se suele proteger con mecanismos anti-ciberforenses, estrategias de engaño-deception-desinformación del malware y la reconstrucción del ciber-evento. Algunas herramientas para la ciberforensia malware son Fordroid, Famous, etc. El ciclo de vida o proceso de la respuesta a ciber-incidentes malware (según el NIST SP 800-61) consta de cuatro fases:
- Preparación anticipada. Se realizan las actividades preparatorias como desarrollar procedimientos de gestión del ciber-incidente malware y los programas de formación para los equipos de respuesta. También implica utilizar políticas (antimalware globales de anticipación), actividades de concienciación (que dejen huella), mitigación de vulnerabilidades y herramientas antimalware multi-nivel para reducir el número de ciber-incidentes malware. A pesar de todas estas medidas persistirá un cierto ciber-riesgo residual de infección.
- Detección y análisis. La detección de infecciones es necesaria para alertar a las organizaciones siempre que ocurran ciber-incidentes malware (actualmente es una utopía debido a la elevada sofisticación del malware existente). La detección anticipada o temprana es vital, clave y fundamental para aumentar la resiliencia frente a otras posibles infecciones malware paralelas y posteriores. Además, ayuda a reducir el número de dispositivos infectados (extensión) y a la naturaleza y profundidad de los daños.
- Contención, erradicación y recuperación. Para cada ciber-incidente malware se debe actuar adecuadamente en base a la severidad del ciber-incidente malware para mitigar sus impactos conteniéndolo (aislándolo, confinándolo, acotándolo, perimetrándolo, colocándolo en zona de cuarentena, en sandbox, etc.) erradicando las infecciones y recuperándose del ciber-incidente malware (por ejemplo, utilizando los backups redundantes, utilizando canales-enlaces de respaldo, utilizando dispositivos-recursos redundantes-replicados, etc.). Se puede necesitar volver a la fase 2 durante la fase 3, por ejemplo, para comprobar las infecciones adicionales que hayan ocurrido desde la realización de la detección original.
- Actividades después del ciber-incidente. Después de gestionar un ciber-incidente malware se debe emitir un informe detallado de las causas y costos del ciber-incidente malware y las medidas que se deberían tomar para prevenir futuros ciber-incidentes malware y preparase anticipadamente (saltando a la fase 1) y más eficientemente para gestionar lo que hacer en futuros ciber-incidentes malware (aplicando todas las lecciones aprendidas). En todo lo anterior yace la incertidumbre de no poder detectar malware de la última generación sigiloso, multifuncional y multi-carga útil.
Estrategias y mecanismos de defensa contra el malware
Algunos mecanismos, técnicas y estrategias de defensa contra el malware son:
- Monitorización. Utilizar la monitorización en tiempo real del tráfico de red, de los sistemas y dispositivos finales. Empleo de rastreadores preventivos multinivel. Se deben utilizar herramientas como firewalls, escaners de malware en tiempo real (incluso en RAM buscando modificaciones maliciosas), sistemas de prevención de fuga de datos, inspección profunda de paquetes de red, sistemas de detección y prevención de intrusiones en los puntos de entrada y salida de la red para saber lo que accede o sale de la red. Las conexiones IP entrantes y salientes no usuales son un indicador de que algo malo ocurre. Los cambios en los sistemas de ficheros del dispositivo de un usuario que sean los normales de una utilización usual, son una evidencia que indica una infección. Realizar test de penetración y auditorías estáticas y dinámicas internas y externas.
- Logging. Se basa en la monitorización, se trata de recoger logs para registrar y determinar el instante de tiempo, los eventos, la metodología de la infección inicial, etc. que permite realizar trazabilidad de las etapas de la infección malware. El logging de red en firewalls, sistemas de ficheros, el logging de eventos en servidores y clientes, los logs de los resultados del escaneo antimalware, los logs que indican las actividades de login y logout del usuario local o remoto, etc. son algunos de los repositorios de información más útiles desde la perspectiva de un equipo de remedio que deberían utilizar herramientas SIEM. Los logs proporcionan una base para la investigación de infecciones y pueden reducir el tiempo necesario para evaluar la trayectoria del malware y sus métodos de persistencia. Los ficheros de log son datos muy valiosos y consecuentemente se deben hacer backups redundantes (para tolerancia a fallos) y guardarlos durante largos períodos de tiempo para analizar tipos de malware de funcionamiento extremadamente lento. El uso de tecnologías como Big-Data ayuda cuando se manipulan elevados volúmenes de datos.
- Exploración y reparación de vulnerabilidades. Existen infinitas vulnerabilidades. Las vulnerabilidades 0-day aún no se saben. Las vulnerabilidades son deficiencias, bugs (en implementación), flaws (en diseño y código), debilidades, confianzas, negligencias, fallos (en diseño, configuración, implementación, etc.), errores de política, organización, gobernanza, etc., fallos de software, firmware y hardware, etc. Se suelen cometer fallos casi siempre en sistemas y aplicaciones/APPs, frecuentemente en ingeniería e implementación y a veces en algoritmos y protocolos (por ejemplo, SMB v.1.0). Existen numerosos organismos que se encargan de registrar las vulnerabilidades conocidas como CVE, CWE, NVD, OSVDB. Existen numerosas herramientas para el escaneo de vulnerabilidades como Nessus, W3af, Nikto, Metasploit (adquirido por Rapid7 en el 2009), OpenVAS. Herramientas del tipo analizadores estáticos (sin ejecución del código) son Coverity, Fortify, Veracode, Grep, Lint (JSLint es Lint para JavaScript). Herramienta del tipo analizadores dinámicos (con ejecución del código) es Valgrind. Las vulnerabilidades son explotadas por exploits. Algunas herramientas que previenen la ejecución de scripts son NoScript, Privoxy. La funcionalidad plugin 'click-to-play' en los navegadores Web permite prevenir intentos de explotación de scripts en sitio Web. Otras defensas son los IDS/IPS/AV/FW con inspección profunda de paquetes, la monitorización del tráfico de red en busca de signos anómalos, los sistemas de prevención de pérdida de datos (DLP), el escaneo continuado del sistema de ficheros y la RAM, la monitorización de indicadores de infección como cambios en el registro, gestionar parches y actualizaciones, etc.
- Utilizar protección antimalware completa y actualizada. Con todas las funcionalidades como ng-firewall, IDS, protección del navegador y del correo electrónico, IPS, whitelisting, VPN (combinado con redes de proxies para el anonimato), antispam, reglas WAX, explora la seguridad de las URLs obtenidas tras una búsqueda Web asociada a la actualización de la reputación de sitios Web, antispyware, antiphishing, anti scripts y macros, proteger y administrar el acceso a las WebCam por programa, protección de las descargas, desinfección de ficheros.dll, etc. Borrar mensajes que se sospeche son de spam. Actualizar el sistema operativo, navegadores Web (aumentar la ciberseguridad en la configuración de los navegadores). Comprobar si el hash (SHA512, SHA256, etc.) de los ficheros/aplicaciones ha cambiado comparando con los valores de una base donde se guardan los hash asociados a los ficheros legales. El malware que infecta los navegadores Web (o browsers) se aprovecha de: (a) Explotar las vulnerabilidades de los componentes, plugins (por ejemplo, Adobe Flash. Se ejecutan como procesos separados e interactúan con el navegador utilizando API) y capas del sistema operativo. (b) Utiliza las extensiones maliciosas (por ejemplo, NoScript. Se ejecutan en el contexto del navegador y usan los mismos derechos del navegador) que residen en el propio navegador y explota las características de la arquitectura del navegador por defecto. (c) Utiliza el sistema operativo como base para pescar y secuestrar funciones críticas del navegador Web al objeto de tomar el control del canal de comunicaciones del navegador.
- Prevención y reducción de contaminación de red. Cuando se detecta una infección los dispositivos adjuntos al dispositivo infectado están en riesgo, incluidos los servidores o servicios de información a los que tienen acceso. Las técnicas de defensa en profundidad prevendrán o limitarán la extensión de una infección a una red desde cualquier punto de infección. Una vez que el malware ha explotado un dispositivo, la infección puede atravesar una red sin estructurar ya que el malware tiene los privilegios del usuario de ese sistema con acceso al Directorio Activo/LDAP o cualquier otro servicio de la red. La compartición de recursos por red y el P2P son aceleradores de transmisión malware. El diseño de una red con defensa en profundidad necesita que el propietario del activo diseñe una estructura específica en la red que separe cada nivel del sistema conectado, manteniendo los dispositivos más críticos (en zonas compartimentadas más seguras que con simple tecnología VLAN), lo más lejos y protegidos de la red abierta (Internet). Esta separación se puede realizar utilizando zonas e implementando protecciones para cada zona según su criticidad. Es fundamental que cada sistema sólo tenga acceso a los dispositivos y ficheros que necesite estrictamente para sus operaciones (esto se denomina principio del control de acceso del mínimo privilegio).
Tipos de malware según su modo de actuar
El malware según su modo de actuar se puede dividir en los siguientes tipos:
- Malware que borra ficheros. Esta, diseñado, para borrar ficheros críticos que son parte del sistema operativo o de los ficheros de datos.
- Malware que genera botnet (o redes de bots o dispositivos zombies). Es el caso del malware 'Gameover ZueS' y del malware Mirai.
- Malware con capacidad de mutación. El malware polimórfico (así como el metamórfico y el oligomórfico) cambia su forma para evitar la detección y desinfección por parte de aplicaciones anti-malware legales. Después de realizar sus funciones, estos malware se ocultan de las aplicaciones anti-malware legales cifrando partes del propio malware. Estos malware tienen la capacidad de cambiar su apariencia y cambiar su código cada vez que infectan un sistema víctima diferente. Esto les ayuda a ocultarse del software anti-malware legítimo.
- Malware que posee múltiples características-funcionalidades. Tienen diferentes capacidades, funcionalidades y características como gusano, virus, troyano, etc. Son los más usuales y además son no detectables y asintomáticos.
- Malware con blindaje-armadura. Están diseñados para que su detección y análisis sea muy difícil. Tienen la capacidad de autoprotegerse de los programas anti-malware legítimos de protección, dificultando su desinfección.
- Retro-malware. Tratan de ciber-atacar e inhabilitar la aplicación anti-malware legítimas que se ejecuta en el dispositivo de computación. Puede considerarse un anti-malware malicioso, algunos retro-malware ciber-atacan a las aplicaciones antimalware legítimas y detienen su ejecución e incluso destruyen o inhabilitan la base de datos de definición de malware (firmas).
- Malware del sector de arranque (o boot sector). Esta, diseñado para infectar el primer sector del disco duro, donde se guarda el MBR (Master Boot Record). El MBR guarda la tabla de partición primaria del disco y las instrucciones de 'bootstrapping' que se ejecutan después de que la BIOS del dispositivo de computación pasa a ejecución el código máquina. Si se infecta un dispositivo de computación con malware del sector de arranque cuando se enciende el dispositivo de computación, el malware se lanza inmediatamente y se carga en memoria permitiendo el control del dispositivo de computación.
- Malware sigiloso. Tienen la capacidad de ocultarse del sistema operativo y del software anti-malware legítimo haciendo cambios en los tamaños de ficheros o estructura de directorio. Estos malware son anti-heurísticos lo que les ayuda a ocultarse de la detección heurística de los anti-malware legales.
- Malware de macro. Se construyen utilizando por ejemplo lenguajes de programación Macro como VBA que es una característica del paquete Office de Microsoft. Una macro es una forma de automatizar y simplificar una tarea que se realiza repetidamente en Office (Excel, Word, etc.) Estas, macro, se guardan normalmente como parte del documento u hoja de cálculo y pueden viajar a otros sistemas cuando estos ficheros se transfieren a otros dispositivos de computación.
- Malware mass-mailer. Estos malware buscan programas de correo-electrónico como Outlook de Microsoft en busca de las direcciones de correo-electrónico que se guardan en el libro de direcciones y se replica el malware por correo electrónico a las direcciones almacenadas en el libro de direcciones del programa de correo-electrónico.
- Malware que secuestran ficheros, carpetas, discos o equipos cifrándolos y pidiendo rescate, normalmente en criptomonedas. Es el caso de ransomware, cryptolocker, ART (Advanced Ransomware Threats) como WannaCry, Petya, etc.
- Malware que espía. Estos malware se encargan de robar información-datos (personal sensible), monitorizar, vigilar, observar, violar la privacidad, etc. Es el caso del malware spyware que permite observar las actividades de la víctima sin su conocimiento y autorización. Un tipo de spyware es el malware keylogger (pueden ser de naturaleza software o hardware) es capaz de registrar todo lo que la víctima teclee por teclado (contraseñas, números de cuenta de banco, etc.) Otro tipo de malware que espía es el malware creepware que al infectar un dispositivo (smartphone, Tablet, PC, smartTV, juguetes para la infancia, vehículos conectados directa o indirectamente, vehículos autónomos, casas inteligentes, electrodomésticos inteligentes, etc.) abre la(s) WebCam y micrófono(s) y registra todo lo que se hable, vea y puede incluso preguntar). Otro tipo de malware espía son las cookies maliciosas. Los rastreadores de cookies circulan capturando cookies que envían los datos de la víctima a terceros: datos como que sitios Web a visitado, qué ha comprado, cuanto tiempo ha estado, que le ha gustado, que colores prefiere, etc. El malware adware recopila información sobre la actividad del usuario muestra anuncios al usuario y vende la información capturada al usuario a terceros. Los malware del tipo troyanos stealers tienen acceso a la información privada de una víctima almacenada en sus dispositivos y una vez hallada la información privada la roban y la envían a terceros.
- Malware que realiza cripto-minería/cripto-jacking no autorizada de criptomonedas. Este tipo de malware se encarga de secuestrar la potencia de procesamiento (CPU) de los dispositivos de computación de la víctima explotando las vulnerabilidades de dichos dispositivos.
- Malware que busca quirúrgicamente al objetivo. Estos malware buscan la víctima utilizando IA y basándose en URL, perfil en RRSS, cookie, etc. para realizar sus funciones borrar, cambiar datos-software, bloquearlo, espiar, etc. Es el caso del malware DeepLocker guiado y basado en inteligencia artificial.
- Malware que controla sistemas de forma remota. Es el caso de los backdoors.
- Malware que ciber-ataca instalaciones industriales con PLCs. Es el caso de malware tipo ciber-arma APT como Stuxnet.
- Malware que recopila direcciones de correo electrónico de un dispositivo infectado. Es el caso del malware 'Trojan-Mailfinder'.
- Malware secuestrador del navegador Web. Estos malware al introducir una URL legal en el navegador lo llevan a otro sitio Web infectado se basan en envenenar la tabla de conversión de direcciones URL en direcciones IP (este tipo de ciber-ataque se denomina pharming).
- Malware tipo rogue. Avisa de falsas infecciones y ofrece un antimalware falso para descargar.
- Malware residente. Se aloja en memoria RAM se correlaciona con los malware sin ficheros.
- Malware de directorio. Cambian las rutas de los ficheros lo que dificulta el localizar la aplicación o software original una vez infectado.
- Malware que cambia contenidos Web. Modifican datos, fotos, texto, programas, videos, pintarrajean sitios Web, etc. para ridiculizar, venganza, atacar la reputación, desinformar, confundir, etc.
- Malware que bloquea redes, servidores, aplicaciones, etc. Satura el ancho de banda de redes, aplicaciones, acceso a servidores, etc. utilizando ciber-ataques del tipo denegación de servicios DoS/DDoS. En el caso de bloquear un servidor el malware puede utilizar el mecanismo de la inundación de syn.
- Malware que se propaga a través de ficheros adjuntos en un correo electrónico, en mensajería instantánea, en IRC o por ficheros a través de compartición P2P. Es el caso de Email-Worm, IM-Worm, IRC-Worm y P2P-Worm.
Consideraciones finales
Actualmente es clave la anticipación, implantar estrategias globales antimalware ciber-resilientes-predictivas, es decir, con capacidad de percepción de la no detectabilidad, del tipo rastreadores proactivos-preventivos móviles multilaterales, de adaptación frente a colectivos de agentes malware sofisticados que pueden crear situaciones de perturbación, estados de emergencia o situaciones caóticas de infección descontroladas, escenarios adversos, recurrentes, persistentes que conduzcan a ciber-pandemias malware y crisis ciber-epidemiológicas desastrosas. El inyectar malware en vehículos conectados puede ser dramático, por ejemplo, desactiva los frenos ante una colisión o inactiva el airbag ante un accidente; así mismo acciona los frenos circulando a muy alta velocidad o bloquea la dirección y desactiva los frenos en una curva cerrada; si la víctima tratar de abrir el vehículo desde el smartphone o mando específico y no puede, si desea cerrar su vehículo el malware lo impide y lo deja abierto; en verano puede poner el aire acondicionado con la máxima temperatura y bloquea la apertura de ventanillas y puertas, etc. Los agentes de infección y perturbación no detectables asintomáticos, no detectables que van mutando y sofisticándose (con ganancia de funciones) de forma autónoma y/o guiada por canales subliminares o C&C es el malware que puede impactar gravemente en toda nuestra Sociedad (tecnológica, digitalizada, definida por software, basada en datos, automatizada, soportada en las nubes (cloud-fog-edge-computing, etc.).
Referencias
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
- Areitio, J.”Incremento creciente del empoderamiento del malware: exploración longitudinal y transversal de las infecciones malware”. Revista Eurofach Electrónica. Enero 2021.
- Areitio, J. “Exploración e identificación de las dimensiones de la inteligencia de ciberseguridad denominadas inteligencia de ciber-amenazas e inteligencia de vulnerabilidades”. Revista Eurofach Electrónica. Octubre 2019.
- Areitio, J.”Protección frente a la sofisticación de las armas cibernéticas”. Revista Eurofach Electrónica. Octubre 2018.
- Sole, R. and Elena, S.F. “Viruses as Complex Adaptive Systems”. Princeton University Press. 2018.
- Gregory, P.H. “Computer Viruses For Dummies”. Wiley Publishing, Inc. 2011.
- Bailey, S. “Worms: Protect Your Computer Data From Encrypting Worms”. Zorbobook.org. 2017.
- Parikka, J. “Digital Contagions: A Media Archaeology of Computer Viruses”. Peter Lang Inc., International Academic Publishers. 2016.
- Marak, V. “Windows Malware Analysis Essentials”. Packt Publishing. 2015.
- Noah, N. “Malware: Black Book of the Israeli Mossad”. CreateSpace Independent Publishing Platform. Large Print Edition. 2015.
- Moulton, P. “Pete the Nerd's How to Kill Viruses on Your Computer for Everyday Users”. Page Publishing, Inc. 2014.
- Brown, B.C. “How to Stop E-Mail Spam, Spyware, Malware, Computer Viruses, and Hackers from Ruining Your Computer or Network: The Complete Guide for Your Home and Work”. Atlantic Publishing Group, Inc. 2012.
- Winslow, L. “Spyware and Viruses Online”. Online Think Tank Virtual Press. 2012.
- Gregory, P.H. “Computer Viruses For Dummies”. Wiley Publishing, Inc. 2011.
- Aycock, J. “Computer Viruses and Malware”. Springer. 2010.
- Ligh, M., Adair, S., Hartstein, B. and Richard, M. “Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code”. Wiley. 2010.
- Mohanta, A. and Saldanha, A. “Malware Analysis and Detection Engineering: A Comprehensive Approach to Detect and Analyze Modern Malware”. Apress. 2020.
Actualmente el malware es un agente de infección muy evolucionado, es elevadamente persistente, es multifuncional, muy difícil de detectar, asintomático, x-mórfico (con capacidad de mutación y que genera variantes de escape inimaginables, cambia de forma utilizando infinidad de métodos
El inyectar malware en vehículos conectados puede ser dramático, por ejemplo, desactiva los frenos ante una colisión o inactiva el airbag ante un accidente; así mismo acciona los frenos circulando a muy alta velocidad o bloquea la dirección y desactiva los frenos en una curva cerrada