jueves, enero 27, 2022
spot_imgspot_imgspot_imgspot_img
InicioNoticiasCiberseguridadQué es un downloader: un tipo de troyano que solo descarga malware

Qué es un downloader: un tipo de troyano que solo descarga malware

El downloader es un tipo de troyano cuya única función es descargar una o más amenazas informáticas, que se encargarán de realizar las acciones maliciosas que buscan los ciberdelincuentes. Si bien el descargador en sí no tiene una carga útil maliciosa, lo que lo ayuda a evitar la detección, el malware es un medio de propagación y amenaza al mismo tiempo debido a su papel en el proceso de infección, como ocurre con el troyano Drip.

Históricamente, las amenazas informáticas se han visto obligadas a evolucionar constantemente, y un ejemplo de esta evolución constante que buscan los desarrolladores de malware se refleja en el comportamiento de algún código único.

También te puede interesar 🧐:  Serie de gestión de riesgos: malware y la amenaza para la banca móvil

Por ejemplo, las personas que descubren que han sido ejecutadas, pero no en la máquina de la víctima sino en una máquina virtual, significa que el malware está siendo escaneado, por un sitio web de verificación de malware o por un analizador. Y justo cuando descubrimos nuevos comportamientos y cambios, han surgido nuevas amenazas, como los descargadores, con este objetivo en mente.

¿Cómo funciona un downloader?

Las descargas de troyanos a menudo tienen como objetivo obtener acceso a las computadoras de los usuarios finales y, a menudo, se alojan como programas legítimos en sitios web no oficiales o sitios web de terceros, como crackers populares. O descargar software de pago de forma gratuita.

Para tener éxito, los descargadores necesitan la interacción del usuario. En otras palabras, necesitan que la víctima ejecute el archivo una vez descargado. El malware generalmente realiza una descarga legítima del programa que se ofrece, aunque es posible que tampoco realice ninguna acción que el usuario vea, y en segundo plano comienza a descargar archivos adicionales.

Esta descarga se puede realizar desde cualquier sitio web que albergue la amenaza que eventualmente infectará la computadora de la víctima, aunque también se puede enviar desde un servidor de comando y control que pertenezca a la computadora de la víctima.

Una vez que la amenaza se descarga finalmente en la computadora, el descargador modifica el registro del sistema comprometido para que el malware se ejecute en cada inicio del sistema. La acción de registro que realiza el descargador es clave para el funcionamiento de la amenaza, ya que reduce las posibilidades de que sea detectada por algunos productos anti-malware gratuitos.

De esta forma, el descargador no levanta sospechas al reproducir un archivo descargado recientemente porque, como dijimos antes, no contiene payloads maliciosos. Su función es descargar un archivo y modificar el registro del sistema para que la amenaza final haga su trabajo cuando se inicie la computadora. Este comportamiento es similar al de las aplicaciones en que se actualizan automáticamente.

Por último, cabe señalar que la herramienta de descarga no es un «cuentagotas». El término cuentagotas a menudo se confunde con el término descarga porque ambos tienen el mismo objetivo final: instalar la amenaza en el dispositivo de la víctima. Ambos son un tipo de troyano, pero el cuentagotas no descarga la amenaza de Internet, sino que contiene la amenaza dentro de sí mismo.

Ejemplos de downloaders recientes

Por lo general, los descargadores no pertenecen a ninguna campaña o familia en particular, sino que son un ícono genérico con la funcionalidad de descarga única de la amenaza subyacente. Sin embargo, muchas familias de este tipo de malware se han hecho cargo en los últimos años.

Un ejemplo es Emotet, una amenaza que comenzó como un troyano bancario con su primera aparición en 2014. Poco después, se convirtió en un bot que se propaga rápidamente y que infecta computadoras con archivos adjuntos maliciosos y luego descarga otras amenazas como Trickbot.

Por el contrario, Trickbot también tiene módulos con funciones de descarga, aunque viene con otras funciones que también lo clasifican como un troyano bancario. Una de las amenazas que hemos visto descargar Trickbot como herramienta de descarga es Ryuk ransomware.

Tanto TrickBot como Emotet sufrieron severos golpes en su infraestructura: en octubre de 2020, la ex empresa sufrió una pérdida de más del 90% de su infraestructura debido a un consorcio de empresas, diferentes tecnologías y ciberseguridad. Luego, a principios de 2021, los bots creados por la segunda amenaza se vieron frustrados gracias a una intensa investigación entre las empresas e Interpol.

Otra campaña que analizamos recientemente con un descargador de troyanos es la billetera criptográfica falsa Safemoon, que utiliza un sitio web falso y un mensaje de Discord como una forma de difundir y descargar el descargador e instalar una herramienta de acceso remoto (RAT). Funciones para monitorear computadoras infectadas, como monitor de teclado.

Recibe Las Últimas Noticias

¿Quieres recibir por correo electrónico nuestras últimas novedades y noticias? Suscríbete a nuestro boletín.

spot_imgspot_imgspot_imgspot_img

LO MÁS LEÍDO

15585

NO TE OLVIDES DE SUSCRIBIRTE A NUESTRO BOLETIN

15856