Los ataques de malware no dejan de reinventarse, siempre buscando estar un paso por delante de las defensas. Este 2024, los ciberdelincuentes estuvieron afinando sus estrategias para hacerlas más efectivas y difíciles de detectar, aprovechándose tanto de fallos tecnológicos como de errores humanos. Pero, ¿cuáles fueron esas tácticas que marcaron la pauta este año? En este artículo, te contamos cuáles son las cinco técnicas de malware que más están dando de qué hablar este año, con ejemplos claros y lo último en tendencias de seguridad.
Cuando los atacantes desactivan el registro de eventos de Windows, están básicamente apagando las "cámaras de seguridad" del sistema. Esto les permite realizar sus actividades maliciosas sin dejar rastros visibles, lo que complica el trabajo de los equipos de seguridad y dificulta el análisis forense.
Sin estos registros, eventos importantes como intentos de inicio de sesión, cambios en archivos o modificaciones del sistema simplemente no se documentan. Esto deja a los defensores en la oscuridad, sin las pistas necesarias para detectar lo que está ocurriendo.
Los atacantes tienen varias formas de desactivar o manipular los registros de eventos: pueden modificar claves del registro, usar comandos como net stop eventlog, o alterar las políticas de grupo para evitar que se recopile información. Al eliminar esta fuente clave de datos, el malware puede operar durante más tiempo sin ser detectado, ya que muchos sistemas de seguridad dependen del análisis de estos registros para identificar comportamientos sospechosos.
Un ejemplo real de esto es XWorm, un malware conocido por deshabilitar los registros del servicio de acceso remoto como parte de su estrategia para mantenerse oculto. Esta técnica le permite operar bajo el radar mientras realiza sus actividades maliciosas.
Detectar este tipo de comportamiento requiere un enfoque proactivo y herramientas especializadas. Utilizar entornos de prueba virtuales, como máquinas virtuales configuradas específicamente para analizar malware, permite observar en tiempo real cómo actúan estas amenazas, desde la ejecución inicial hasta técnicas avanzadas como la desactivación de registros. Este tipo de análisis es clave para entender y combatir tácticas tan sigilosas como esta.
Conoce más sobre: Análisis de Malware con Wazuh
PowerShell es como una navaja suiza para administradores de sistemas, pero también para los atacantes. Este lenguaje de programación integrado en Windows es una herramienta poderosa que los ciberdelincuentes aprovechan para hacer prácticamente de todo: cambiar configuraciones, extraer datos sensibles o incluso asegurarse un acceso permanente a los sistemas que han comprometido.
Lo más preocupante es que PowerShell ofrece tantas funciones avanzadas que los atacantes pueden ocultar sus movimientos con técnicas de ofuscación, como comandos codificados o scripts que parecen inofensivos. Esto les permite pasar desapercibidos frente a muchas herramientas de detección de amenazas.
Un ejemplo claro de esta técnica es BlankGrabber, un malware diseñado para robar información confidencial. Cuando se ejecuta, este programa utiliza PowerShell para modificar configuraciones del sistema y deshabilitar herramientas clave de seguridad, como la protección en tiempo real, el sistema de prevención de intrusiones (IPS) y otros servicios de monitoreo de Windows. Todo esto se hace a través de comandos bien elaborados que el malware ejecuta silenciosamente en segundo plano.
El análisis de estos ataques revela los comandos exactos que se utilizan, lo que nos ayuda a entender cómo trabajan los atacantes para evadir las defensas y qué pasos podemos tomar para prevenir este tipo de abusos. Si algo queda claro, es que PowerShell sigue siendo un blanco clave tanto para los administradores legítimos como para los actores maliciosos.
El shell de comandos de Windows, mejor conocido como cmd.exe, es esa herramienta básica que muchos usan para tareas administrativas, como gestionar archivos o ejecutar scripts. Pero lo que para los usuarios legítimos es una utilidad confiable, para los atacantes es una puerta abierta a un sinfín de posibilidades maliciosas.
Los ciberdelincuentes usan el shell de comandos para ejecutar acciones como descargar archivos desde servidores remotos, desplegar malware o incluso lanzar scripts de PowerShell para ampliar su alcance. Como cmd.exe es una herramienta que el sistema considera legítima, los comandos maliciosos pueden pasar desapercibidos al mezclarse con tareas normales, complicando el trabajo de las herramientas de seguridad. Para colmo, los atacantes suelen ofuscar sus comandos para que sean aún más difíciles de detectar.
Un ejemplo interesante es Lumma, un malware especializado en robar información que lleva dando problemas desde 2022. Este ladrón de datos utiliza cmd.exe para desplegar su carga útil, realizando acciones como iniciar aplicaciones con extensiones sospechosas o alterar ejecutables para cumplir con su propósito malicioso. Todo esto mientras aprovecha la confianza del sistema en esta herramienta tan básica y utilizada.
El shell de comandos es una pieza clave para administradores de sistemas, pero también para los atacantes que buscan operar bajo el radar. Por eso, entender cómo abusan de esta herramienta es crucial para reforzar nuestras defensas y evitar caer en sus trampas.
Uno de los métodos favoritos de los atacantes para asegurarse de que su malware siga activo cada vez que enciendes tu computadora es modificar ciertas claves de registro en Windows. Estas claves están diseñadas para ejecutar programas automáticamente al inicio del sistema, y al añadir sus propios archivos maliciosos ahí, los atacantes logran que su software se ejecute sin que te des cuenta.
Además, otro truco común es colocar esos archivos maliciosos en la Carpeta de Inicio, un directorio que Windows escanea al iniciar sesión y donde ejecuta automáticamente cualquier cosa que encuentre. Básicamente, es como asegurarse de que el malware siempre tenga su boleto de entrada al sistema cada vez que lo inicias.
Este método les permite a los atacantes mantener una presencia constante en el sistema para realizar todo tipo de actividades maliciosas: robar datos, moverse lateralmente por una red, o simplemente preparar el terreno para ataques más grandes.
Un ejemplo claro de esta técnica es el malware Remcos, que usa una clave de registro específica. Al añadir una entrada maliciosa en esta clave, Remcos se asegura de que su backdoor (puerta trasera) se inicie automáticamente cada vez que el usuario inicia sesión. Esto le da al atacante control constante sobre el sistema infectado y la capacidad de continuar ejecutando sus actividades maliciosas sin interrupciones.
Por eso, una revisión regular de las claves de registro y un monitoreo de los procesos que se ejecutan al inicio pueden ser claves para detectar y eliminar amenazas antes de que hagan un daño mayor.
Te podrá interesar leer: El Poder de las SandBox en Ciberseguridad
El malware no siempre actúa de inmediato. Muchas veces, utiliza lo que se conoce como evasión basada en el tiempo, una estrategia simple pero efectiva para evitar ser detectado. La idea es retrasar la ejecución del código malicioso, esperando a que las herramientas de seguridad, como los sandboxes, terminen su monitoreo (que normalmente dura solo unos minutos). Si el malware no hace nada sospechoso durante ese tiempo, se considera "seguro" y pasa desapercibido.
Pero esto no solo sirve para engañar sandboxes. También ayuda a que el malware se vea inofensivo en un análisis inicial, dificultando que las herramientas de seguridad detecten su verdadera intención. Es como si fingiera ser un archivo común mientras "espera su momento" para actuar. Además, esos retrasos también permiten que el malware sincronice sus partes, asegurándose de que todos los componentes necesarios estén listos antes de lanzar el ataque principal.
Un caso interesante es Dark Crystal RAT (DCRAT), un malware que usa esta técnica de manera descarada. Por ejemplo, antes de empezar su actividad maliciosa, permanece inactivo durante 2 segundos (2000 milisegundos) para asegurarse de que todos sus archivos y recursos estén listos para el siguiente paso.
Otra táctica que emplea DCRAT es usar herramientas legítimas como w32tm.exe para agregar más retrasos a su proceso, lo que le permite operar bajo el radar mientras prepara el terreno para su ataque.
Estos retrasos pueden parecer insignificantes, pero marcan una gran diferencia a la hora de evitar sistemas de detección automatizados. Es un recordatorio de cómo incluso los métodos más simples pueden ser usados de manera inteligente por el malware para mantenerse oculto y causar el mayor daño posible.
Protegerse del malware no es tarea fácil, especialmente con las técnicas cada vez más sofisticadas que los atacantes están utilizando para evadir detección y maximizar su impacto. Desde el abuso de herramientas legítimas como PowerShell y el shell de comandos hasta tácticas más avanzadas como la modificación de registros y la evasión basada en el tiempo, está claro que los ciberdelincuentes siempre quieren estár un paso adelante.
En TecnetOne, contamos con soluciones avanzadas de ciberseguridad diseñadas para detectar, prevenir y responder a estas amenazas antes de que afecten tus operaciones. Pero no solo nos enfocamos en protegerte, también contamos con soluciones de copias de seguridad confiables, para que, si llegara a pasar algo, puedas recuperar tus datos rápido y seguir operando sin mayores problemas. Contáctanos hoy mismo y deja que nuestros especialistas te guíen para encontrar la solución perfecta para proteger tu empresa.