Hola GT El zoológico de todo tipo de virus crece cada año, el beneficio de la imaginación es no ocupar a sus creadores. Por supuesto, los antivirus hacen frente con éxito a varios de los programas maliciosos más comunes, incluso sus versiones gratuitas o las integradas en el sistema operativo. Aprendimos a tratar con ransomware popular como mínimo (hay una sección en los sitios de compañías antivirus conocidas con servicios para descifrar o generar código si conoce una billetera o correo electrónico al que los autores del malware solicitan transferir fondos).
Los virus comunes dejan rastros en la máquina infectada: algunos archivos ejecutables sospechosos, archivos de biblioteca o simplemente fragmentos de código malicioso que el antivirus o el administrador adecuado pueden detectar. Encontrar e identificar dichos rastros ayuda a identificar el virus, lo que significa eliminarlo y minimizar las consecuencias.
Pero la oposición de la espada y el escudo es algo eterno, y el malware informático no se limita a aquellos que dejan algunos rastros en las unidades. De hecho, si el virus se encuentra y actúa solo dentro de la RAM, sin tocar el disco duro o el SSD, tampoco dejará rastros de ellos.
En 2014, hubo una serie de noticias sobre el llamado malware RAM, pero luego pertenecía a un grupo bastante reducido de dispositivos afectados, a terminales de pago.
Los datos de la transacción se consideran protegidos, ya que se almacenan en forma cifrada en los servidores de los sistemas de pago. Pero hay un período de tiempo muy corto durante el cual la información para la autorización de pago se almacena en texto sin formato. Además, se almacena en la RAM de la terminal de pago.
Por supuesto, esta pieza parecía demasiado sabrosa para que los piratas informáticos la pasaran, y surgió el malware, que recopilaba información de los terminales RAM POS: números de tarjeta, direcciones, códigos de seguridad y nombres de usuario.
Y luego alguien decidió ir más allá, recordando que las computadoras también tienen RAM.
Solo RAM
Febrero de 2017, Kaspersky Lab publicó un informe que indica que dicho malware infectaba computadoras en compañías de telecomunicaciones, bancos y agencias gubernamentales en 40 países.
¿Cómo es la infección de la máquina en este caso?
- el malware se registra directamente en RAM, evitando los discos duros
- debido a esto, durante un control de seguridad no se puede detectar
- Para registrar el malware en la memoria, los atacantes utilizaron herramientas administrativas populares: PowerShell, Mimikatz, Metasploit
- Para la transferencia de datos, se utilizaron sitios creados en los dominios nacionales de países como Gabón, la República Centroafricana y Malí. Sus dominios se caracterizan porque no guardan información de WHOIS sobre quién era el propietario de un dominio en particular después de la expiración de su período de renovación. Es decir, otro menos es una oportunidad para rastrear de alguna manera al atacante.
Los ciberdelincuentes lograron recopilar datos sobre los inicios de sesión y contraseñas de los administradores del sistema, lo que permitió administrar un host infectado en el futuro. Y está claro que con esta capacidad de controlar la computadora infectada, puede hacer muchas de las acciones no más legítimas, pero la dirección principal de tales ataques es el "ordeño" de los cajeros automáticos.
Es difícil encontrar tales virus, porque en su forma habitual realmente no dejan rastros. No hay aplicaciones instaladas. No hay archivos separados dispersos en diferentes carpetas, incluidos los del sistema o los ocultos.
Pero, ¿dónde dejan rastros en alguna parte?
Por supuesto, si el virus no deja rastros en las unidades, no tiene sentido buscarlos. ¿Y luego que? Así es: el registro, los volcados de memoria y la actividad de la red. Es necesario que se registre de alguna manera en la memoria (y de tal manera que permanezca operativo incluso después de reiniciar la máquina), y luego de alguna manera transfiera los datos al servidor del atacante.
Los especialistas de Kaspersky Lab analizaron cuidadosamente los volcados de memoria y las entradas de registro de las máquinas infectadas, y utilizando Mimikatz y Meterpreter pudieron reconstruir el ataque.
Un fragmento de código descargado usando Meterpreter de adobeupdates.sytes [.] NetUn script generado por el marco Metasploit.
Asigna la cantidad de memoria requerida, usa WinAPI y carga la utilidad Meterpreter directamente en la RAM.¿Vale la pena temer?
Por un lado, ciertamente sí. El virus, sea lo que sea, no está destinado a hacer que su computadora funcione más cómodamente.
Por otro lado, no es tan fuerte (pero no tan fuerte) como los virus comunes y el mismo ransomware. Aunque solo sea por el momento, el objetivo principal de tales ataques son las instituciones financieras y no los usuarios comunes.
Pero quién sabe con qué frecuencia se creará y usará dicho malware en el futuro cercano.
Le recordamos que la primavera es una gran ocasión para actualizarse no solo en folletos en los árboles, sino también en las unidades del sistema debajo de su escritorio. Especialmente para esto, Kingston tiene promociones en tiendas asociadas. Por ejemplo, en la red DNS hasta el 15 de abril, puede comprar Kingston SO-DIMM RAM con un descuento, los detalles están
aquí . En Yulmart, se lleva a cabo una
acción hasta el 18 de abril y hay precios especiales para los módulos de memoria Kingston e HyperX para computadoras y computadoras portátiles que usan el código promocional
KINGMEM . Y en las tiendas Citylink hasta el 7 de abril, se aplican
descuentos a varios tipos de RAM a la vez, y allí también es importante recordar ingresar el código promocional:
DDR3HX . Por lo tanto, tiene sentido apresurarse por una nueva memoria y actualizar de manera rentable.
Para obtener más información sobre los productos Kingston e HyperX, visite
el sitio
web oficial de
la compañía .