EF483 - Eurofach Electrónica

INVESTIGACIÓN 46 para herir su reputación (utilizando swapping-foto, deep-video), etc.), avisar a la víctima de una infección y solicitar descargar un antimalware específico gratuito o de pago, que sin saberlo la víctima, es un troyano y se encuentra infectado, etc. 2.Algo perceptible. Se caracteriza porque el malware apenas genera síntomas. Es el caso de la minería ilegal de criptomonedas que el dis- positivo de computación infectado de la víctima realiza para el cibe- ratacante, en este caso el síntoma es acaparar potencia de CPU de la víctima, con lo que el dispositivo de la víctima irá más despacio y se calentará más. 3.Oculto/invisible. Se caracteriza por ser el malware asintomático no detectable, se oculta utilizando tecnología de inteligencia artificial (además de privilegios de root), criptográfica (incluso de múltiples capas heterogéneas) , estega- nografía, compresión de datos, fragmentación de datos/secretos (empleando técnicas como Shamir, Key-Escrow, etc.) y ofuscación. Es el caso de las bombas de tiempo, de las puertas traseras (Backdoors), de los CC (Credit Card)-Stealers (robadores de tarjetas de crédito que actúan sobre los plugin con vulnerabilidades), las técnicas Blackhat SEO (Search Engine Optimization) buscan obtener un mejor posicionamiento Web de los sitios que proporcionan productos y servicios, pero abusando de deter- minados métodos que transgreden las políticas establecidas por los buscadores, etc. Algunos métodos de Blackhat SEO o posicionamiento Web abusivos son: (I) Spamming keywords. Cuando se forman frases utilizando palabras clave. (II) Cloaking. Se utiliza para mostrar en los motores de búsqueda con- tenidos diferentes a los que se le presenta al usuario que realiza determinada búsqueda. (III) Contenido duplicado. Busca que varios sitios Web alojen el mismo contenido con el mismo signi- ficado, pero utilizando palabras diferentes. (IV) Keyword-stuffing. Cuando se hace abuso de las pala- bras clave dentro del contenido de un sitio Web. (V) Texto oculto (o palabras encu- biertas). Utiliza contenido (texto) con el mismo color del fondo del sitio Web para que no se vea. El propósito de las técnicas de ofus- cación y obstrucción para que no podamos detectar al malware es: hacer no claro el código, hacer difícil o imposible la decodifi- cación, posibilitar la ocultación (ocultado esteganográfico en fotos, vídeos, en las cabeceras de las unidades de datos de proto- colo que circulan por la red, etc.), hacer difícil el encontrar y poder observar al malware (es decir, detectar el malware y protegerlo de la ingeniería inversa), posibili- tar las mutaciones del malware incluso preservando el formato y las funcionalidades. La ofuscación se utiliza en malware y sus deri- vadas como scripts, javascripts, vbscripts, etc., maliciosos. TÉCNICAS DE SUPERVIVENCIA DEL MALWARE Existen diversos tipos de tecnologías de ofuscación y obstrucción para impedir que detectemos al malware: (1) Introducción de secuencias basura (añadiendo código que nomodifique el comportamiento del malware), encapsulando datos y código (en tiempo de ejecución cuando se necesita el fragmento de programa encapsulado se ejecuta el proce- dimiento de decodificación y se utiliza el fragmento de programa original), utilización de nombres aleatorios, renombrando variables (bien por rango de sentencias limi- tado o bien durante todo su rango de vida), empleo de funciones no documentadas, reordenación del código (cambiando el orden de las instrucciones del programamalware pero manteniendo el orden de la ejecución original mediante el uso de instrucciones de salto (jump) y de control de flujo con condiciones (tipo case)), utilización de falsificación del código legítimo (deep-data), empleo de lugares aleatorios, etc. (2)Utilización de: empaquetadores o packers (también denominados El malware con funcionalidad de virus se propaga de un dispositivo de computación a otro embebiéndose copias de dicho malware en ficheros, que por algún medio se transportan a la víctima u objetivo