Hemos protegido a casi 400.000 usuarios globales de Avast del malware que hace uso de OnionCrypter
El malware actual se parece mucho a un automóvil. Tanto los automóviles como el malware se forman de muchos componentes que les permiten funcionar. Los autos tienen diferentes partes como motores, llantas y volantes; el malware tiene cargadores, cargas útiles y módulos de comando.
Recientemente, los investigadores de Avast Threat Labs dedicaron un tiempo a analizar una "parte" específica que los autores de malware utilizan para fabricar sus "coches". Se le llama "crypter", que es una herramienta que se utiliza para ocultar partes maliciosas del código mediante cifrado en un esfuerzo por parecer inofensivo y más difícil de leer. Los autores de malware utilizan esta técnica para ocultar su código malicioso a los investigadores, antivirus y software de seguridad. Desde el punto de vista de un autor de malware, un cifrador es una herramienta importante para contrarrestar las protecciones contra el malware. Sin embargo, desde el punto de vista de un investigador, ser capaz de identificar un cifrador nos ayuda a identificar mejor y más rápidamente el nuevo malware cuando ese malware tiene este componente.
Presentamos OnionCrypter
Nuestros investigadores examinaron un crypter específico al que llamamos OnionCrypter. Hemos elegido este nombre porque este cifrador en particular utiliza múltiples técnicas para dificultar la lectura de la información que protege a los investigadores, antivirus y software de seguridad. En pocas palabras, la información está oculta dentro de las capas de la "cebolla" de su cifrado. OnionCrypter es inusual debido a la forma en que usa múltiples capas para ocultar su información. Es importante tener en cuenta que el nombre refleja las muchas capas que usa este criptográfico y no está relacionado de ninguna manera con el navegador Tor o la red.
También descubrimos que OnionCrypter ha sido ampliamente utilizado desde 2016 por algunas de las familias de malware más conocidas y prevalentes, como Ursnif, Lokibot, Zeus , AgentTesla y Smokeloader, entre otras. En los últimos tres años, hemos protegido a casi 400.000 usuarios de Avast en todo el mundo del malware que hace uso de OnionCrypter. El cuadro a continuación muestra las diferentes familias de malware que encontramos usando OnionCrypter.
Debido a cuánto tiempo ha existido OnionCrypter y cuán ampliamente se usa, nuestros investigadores creen que los autores de OnionCrypter lo ofrecen a la venta como un servicio. Esto tiene sentido: hemos visto madurar el mercado del malware, de modo que algunas personas y empresas ofrecen servicios específicos y especializados. De acuerdo con ese tipo de mercado maduro, también creemos que los autores de OnionCrypter ofrecen personalización para sus clientes, lo que ayuda a que sea aún menos detectable. En la publicidad en foros, esto se anuncia con frecuencia como un cifrador completamente indetectable (FUD).
Con la información que los investigadores de Avast han encontrado en OnionCrypter, estamos haciendo que sea más fácil para nosotros y para otros detectar no solo OnionCrypter, sino también cualquier cosa que lo use.
Volviendo a la analogía del automóvil, hemos identificado una parte específica en el motor que utilizan muchas familias de malware. Ahora, podemos buscar esa parte y examinarla más de cerca cuando la encontramos en algo nuevo ; nuestra investigación nos ha demostrado que, en estos casos, es un nuevo tipo de malware. La capacidad de nuestro equipo para realizar una investigación profunda es buena tanto para los clientes de Avast como para todos los demás porque esta información ayuda a informar a quienes diseñan y mejoran el software de seguridad.
Para leer más sobre OnionCryper y cómo funciona, consulte la publicación de Jakub Kaloč en Avast Decoded (sitio en inglés).