Nos gustaría compartir con vosotr@s un descubrimiento importante sobre malware detectado por el Laboratorio de Amenazas de Avast (Avast Threat Labs):
Hoy en día, el malware está formado por muchos componentes que le permiten funcionar. Podríamos compararlo con un coche, que necesita de muchos componentes diferentes para poder circular correctamente: motor, volante, neumáticos…En el caso del malware, uno de estos componentes clave es el denominado «crypter» (cifrador), herramienta utilizada para ocultar partes maliciosas del código mediante el cifrado con el objetivo de parecer inofensivo y más difícil de leer.
Desde el punto de vista de un creador de malware, un cifrador es una herramienta importante para contrarrestar las protecciones contra el malware. Sin embargo, desde el punto de vista de un investigador, ser capaz de identificar un crypter ayuda a detectar mejor y más rápidamente el nuevo malware cuando éste tiene este componente.
Avast Threat Labs ha descubierto un crypter que ha sido ampliamente utilizado desde 2016 por algunas de las familias de malware más conocidas y prevalentes, como Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader, entre otras. En los últimos tres años, Avast ha protegido del malware que utiliza este crypter a casi 400.000 usuarios en todo el mundo.
Se ha denominado a este cifrador como «OnionCrypter» porque utiliza múltiples técnicas para dificultar a los investigadores, antivirus y software de seguridad la lectura de la información que protege, ocultando la información dentro de las “capas de cebolla» de su cifrado. Es importante tener en cuenta que el nombre refleja las múltiples capas que utiliza este cifrador, y que no tiene ninguna relación con el navegador o la red TOR.
Debido al tiempo que lleva OnionCrypter en el mercado y a su amplio uso, los investigadores creen que los autores de OnionCrypter lo ofrecen como servicio.
Esto tiene sentido: hemos visto madurar el mercado del malware, de modo que algunas personas y empresas ofrecen servicios específicos y especializados. De acuerdo con ese tipo de mercado maduro, también creemos que los autores de OnionCrypter ofrecen personalización para sus clientes, lo que ayuda a que sea aún menos detectable. En la publicidad en foros, esto se anuncia con frecuencia como un cifrador completamente indetectable (FUD).
Podéis aprender más sobre OnionCrypter en el blog de Threat Labs: https://blog.avast.com/onioncrypter-threat-research-avast
También podéis conocer más detalles técnicos sobre OnionCryper y su funcionamiento en la publicación de Jakub Kaloč en el blog Decoded de Avast: https://decoded.avast.io/jakubkaloc/onion-crypter/
. Leer artículo completo en Frikipandi OnionCrypter: el cifrador preferido de las familias de malware.