[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/04\/29\/malware-polimorfico\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/04\/29\/malware-polimorfico\/","headline":"Malware polim\u00f3rfico. Todo lo que necesitas saber","name":"Malware polim\u00f3rfico. Todo lo que necesitas saber","description":"Todo lo que debes saber sobre el malware polim\u00f3rfico, qu\u00e9 es, evoluci\u00f3n, c\u00f3mo funciona, ejemplos y c\u00f3mo protegerse \u00a1M\u00e1s informaci\u00f3n aqu\u00ed!","datePublished":"2021-04-29","dateModified":"2021-04-29","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/04\/malware-polimorfico.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/04\/malware-polimorfico.jpg","height":915,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/04\/29\/malware-polimorfico\/","about":["CIBERSEGURIDAD"],"wordCount":2936,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Imag\u00ednate un virus o entidad maliciosa que puede adaptarse y cambiar con el tiempo. Este cambiaformas se camufla cambiando su \u201ccomposici\u00f3n gen\u00e9tica\u201d, si se quiere, es c\u00f3digo, para esconderse de aquellos que buscan destruirlo. Desafortunadamente, este escenario no es solo algo que tengas que so\u00f1ar. Si bien puede parecer sacado de una novela de ciencia ficci\u00f3n, el malware polim\u00f3rfico es demasiado real en el mundo de la seguridad inform\u00e1tica. Y tampoco es un desarrollo nuevo: esta forma mutante de malware ha existido desde al menos los a\u00f1os 80 con la creaci\u00f3n del malware llamado 1260. Analizamos en esta publicaci\u00f3n qu\u00e9 es el malware polim\u00f3rfico, cu\u00e1les son sus efectos, c\u00f3mo protegernos y los principales ejemplos de este tipo de malware.\u00bfQu\u00e9 es el malware polim\u00f3rfico?Origen y evoluci\u00f3n del malware con c\u00f3digo polim\u00f3rficoDiferencia entre malware polim\u00f3rfico y metam\u00f3rficoM\u00e9todo de infecci\u00f3nEjemplos de malware polim\u00f3rficoLoveLetterStorm Worm EmailCryptoWall\u00a0VirlockCryptXXXCryptoLockerWannacry\u00bfC\u00f3mo protegerse frente a estas amenazas?Mant\u00e9n tu software actualizadoNo hagas clic en enlaces o archivos adjuntos sospechososUsa contrase\u00f1as seguras y c\u00e1mbialas con regularidadAprovecha las herramientas de detecci\u00f3n basadas en el comportamiento\u00bfQu\u00e9 es el malware polim\u00f3rfico?El malware polim\u00f3rfico es un tipo de malware que cambia constantemente sus caracter\u00edsticas identificables para evadir la detecci\u00f3n. Muchas de las formas comunes de malware pueden ser polim\u00f3rficas, incluidos virus, gusanos, bots, troyanos o registradores de pulsaciones de teclas. Las t\u00e9cnicas polim\u00f3rficas implican caracter\u00edsticas identificables que cambian con frecuencia, como nombres y tipos de archivos o claves de cifrado, para que el malware sea irreconocible para muchas t\u00e9cnicas de detecci\u00f3n.El polimorfismo se utiliza para evadir la detecci\u00f3n de coincidencia de patrones en la que se basan las soluciones de seguridad como el software antivirus. Si bien ciertas caracter\u00edsticas del malware polim\u00f3rfico cambian, su prop\u00f3sito funcional sigue siendo el mismo.Por ejemplo, un virus polim\u00f3rfico continuar\u00e1 propag\u00e1ndose e infectando dispositivos incluso si su firma cambia para evitar la detecci\u00f3n. Al cambiar las caracter\u00edsticas para generar una nueva firma, las soluciones de detecci\u00f3n basadas en firmas no reconocer\u00e1n el archivo como malicioso. Incluso si la nueva firma se identifica y se agrega a la base de datos de firmas de las soluciones antivirus, el malware polim\u00f3rfico puede continuar cambiando firmas y realizando ataques sin ser detectado.En ciberseguridad, el t\u00e9rmino polimorfismo tiene una connotaci\u00f3n menos positiva. En este contexto, polim\u00f3rfico se refiere a la capacidad de un malware para cambiar y adaptar continuamente sus caracter\u00edsticas para evitar la detecci\u00f3n. El malware polim\u00f3rfico empareja un motor de mutaci\u00f3n con un c\u00f3digo autopropagado para cambiar continuamente su \u00abapariencia\u00bb y utiliza cifrado (u otros m\u00e9todos) para ocultar su c\u00f3digo.Origen y evoluci\u00f3n del malware con c\u00f3digo polim\u00f3rficoMark Washburn introdujo el primer malware polim\u00f3rfico llamado 1260 en 1990. Otro malware fue escrito en 1992 por un hacker llamado Dark Avenger para evitar el reconocimiento de patrones por parte del software antivirus. Uno de los programas maliciosos polim\u00f3rficos m\u00e1s comunes es Virut.El virus 1260 tiene muchas t\u00e9cnicas interesantes que fueron previamente predichas por Fred Cohen. El virus utiliza dos teclas deslizantes para descifrar su cuerpo, pero lo que es m\u00e1s importante, inserta instrucciones basura en su descifrador. Estas instrucciones son basura en el c\u00f3digo. No tienen otra funci\u00f3n que alterar la apariencia del descifrador.El siguiente desarrollo importante en la historia de los virus polim\u00f3rficos fue MtE, un motor de mutaci\u00f3n escrito por el b\u00falgaro Dark Avenger. La primera versi\u00f3n MtE fue lanzada durante el verano de 1991, seguida m\u00e1s tarde por otra versi\u00f3n a principios de 1992. La idea del motor de mutaci\u00f3n se basa en el desarrollo modular. Para los escritores de virus novatos, era dif\u00edcil escribir un virus polim\u00f3rfico. Sin embargo, los creadores de virus m\u00e1s avanzados acudieron en su ayuda. El motor MtE se lanz\u00f3 como un objeto que podr\u00eda vincularse a cualquier virus simple.W95 \/ HPS y W95 \/ Marburg 18 fueron los primeros virus en utilizar motores polim\u00f3rficos reales de 32 bits. Estos dos virus fueron creados por el infame escritor de virus espa\u00f1ol, GriYo, en 1998. Tambi\u00e9n cre\u00f3 varios virus altamente polim\u00f3rficos anteriormente en DOS, como el virus Implant.Al igual que el motor polim\u00f3rfico de Implant, el motor polim\u00f3rfico de HPS es potente y avanzado. Admite subrutinas que utilizan instrucciones CALL \/ RET y saltos condicionales con desplazamiento distinto de cero.Diferencia entre malware polim\u00f3rfico y metam\u00f3rficoLa gente suele pensar que el malware polim\u00f3rfico y el malware metam\u00f3rfico son lo mismo, y en la superficie, lo son: son software adaptativo y mutante que los piratas inform\u00e1ticos utilizan para infiltrarse y robar informaci\u00f3n mientras evitan la detecci\u00f3n. Y tanto el malware polim\u00f3rfico como el metam\u00f3rfico tienen como objetivo eludir las soluciones antimalware tradicionales. Sin embargo, aunque sus objetivos son los mismos, la forma en que los alcanza cada tipo de malware es diferente.Una de las cosas que diferencia al malware metam\u00f3rfico del polim\u00f3rfico es que reescribe completamente su c\u00f3digo para que cada versi\u00f3n reci\u00e9n propagada de s\u00ed mismo ya no coincida con su iteraci\u00f3n anterior. Esto difiere del malware polim\u00f3rfico, que altera parte de su c\u00f3digo pero conserva una parte de su c\u00f3digo que permanece igual (lo que lo hace un poco m\u00e1s f\u00e1cil de identificar que el malware metam\u00f3rfico). En pocas palabras, el malware polim\u00f3rfico es un leopardo que cambia sus manchas. El malware metam\u00f3rfico es un tigre que se convierte en le\u00f3n.Aunque ambos tipos de malware son dif\u00edciles de escribir (incluso un peque\u00f1o error puede generar problemas importantes que pueden impedir su funcionamiento), el malware metam\u00f3rfico es m\u00e1s dif\u00edcil de desarrollar que el malware polim\u00f3rfico porque su creador puede utilizar m\u00faltiples t\u00e9cnicas de transformaci\u00f3n. Estos m\u00e9todos pueden incluir \u00abcambio de nombre de registros, permutaci\u00f3n de c\u00f3digo, expansi\u00f3n de c\u00f3digo, reducci\u00f3n de c\u00f3digo e inserci\u00f3n de c\u00f3digo basura\u00bb.M\u00e9todo de infecci\u00f3nEl malware polim\u00f3rfico existe en muchas formas: Algunos de estos tipos de malware son virus, bots, troyanos, gusanos y registradores de pulsaciones de teclas. Independientemente del tipo, lo que hace que este malware sea tan eficaz es su complejidad y velocidad. El malware polim\u00f3rfico utiliza c\u00f3digo polim\u00f3rfico para cambiar r\u00e1pidamente, con una frecuencia de hasta 15-20 segundos.Debido a que muchos proveedores de anti-malware utilizan m\u00e9todos de detecci\u00f3n tradicionales basados \u200b\u200ben firmas para detectar y bloquear c\u00f3digo malicioso, significa que cuando identifican la nueva firma, el malware ya se ha convertido en algo nuevo. Como resultado, la mayor\u00eda de las soluciones de seguridad simplemente no pueden mantenerse al d\u00eda o no pueden detectar estas amenazas.El malware polim\u00f3rfico se aprovecha de la ignorancia de los empleados y de las vulnerabilidades de d\u00eda cero no reconocidas para causar estragos. Si un empleado hace clic en un archivo adjunto en un correo electr\u00f3nico de phishing o proporciona informaci\u00f3n a trav\u00e9s de un sitio web de phishing, abre toda su red, empresa y datos confidenciales para atacar. Y cuando la amenaza evoluciona continuamente, es m\u00e1s dif\u00edcil de identificar y mucho menos de eliminar.La elecci\u00f3n de no educar a tus empleados o parchear vulnerabilidades conocidas deja a tu empresa como un blanco f\u00e1cil. Microsoft lanz\u00f3 recientemente un parche para una vulnerabilidad cr\u00edtica de ejecuci\u00f3n de c\u00f3digo remoto que exist\u00eda en los Servicios de escritorio remoto en determinados sistemas operativos de Windows. Este parche tiene como objetivo prevenir posibles ataques generalizados que podr\u00edan ser explotados por malware adaptativo y otras amenazas.El malware puede atacar o ingresar al sistema con una variedad de procesos como cambio de nombre de archivo, compresi\u00f3n y cifrado. Adem\u00e1s de esto, el malware tambi\u00e9n puede ingresar al sistema a trav\u00e9s de procesos como la adici\u00f3n de datos y los datos pre-pendientes. Para la mutaci\u00f3n, se utiliza un motor polim\u00f3rfico, que mantiene intacto el algoritmo original del malware. Esto significa que el c\u00f3digo sigue cambiando cada vez que se ejecuta, pero la funci\u00f3n del c\u00f3digo permanecer\u00e1 inalterada.El cifrado es la t\u00e9cnica m\u00e1s com\u00fan para ocultar este c\u00f3digo para que no se detecte y, por lo tanto, la detecci\u00f3n de malware polim\u00f3rfico nunca ha sido una tarea f\u00e1cil. En este proceso, el cuerpo principal del c\u00f3digo de malware, conocido como carga \u00fatil, est\u00e1 encriptado y no generar\u00e1 ning\u00fan significado. Para que el c\u00f3digo funcione como antes, siempre se agrega una funci\u00f3n de descifrado con el c\u00f3digo. Cuando se ejecuta el c\u00f3digo completo, la funci\u00f3n de descifrado lee la carga \u00fatil y descifra el c\u00f3digo antes de ejecutarlo.Ejemplos de malware polim\u00f3rficoLos investigadores han descubierto que el 97% de las infecciones de malware emplean t\u00e9cnicas polim\u00f3rficas. Si bien algunas de estas t\u00e1cticas existen desde la d\u00e9cada de 1990, en la \u00faltima d\u00e9cada ha surgido una nueva ola de malware polim\u00f3rfico agresivo. Aqu\u00ed tienes algunos ejemplos de virus polim\u00f3rficos:LoveLetterEl gusano Loveletter, memorable por su apego \u00abLOVE-LETTER-FOR-YOU\u00bb y la l\u00ednea de asunto \u00abILOVEYOU\u00bb, fue uno de los primeros gusanos en ganar una gran cantidad de atenci\u00f3n de los medios. Tambi\u00e9n fue uno de los primeros en alcanzar un n\u00famero de da\u00f1os de miles de millones de d\u00f3lares.El virus llega en un correo electr\u00f3nico con el asunto \u00abILOVEYOU\u00bb con un archivo adjunto \u00abLOVE-LETTER-FOR-YOU.TXT.vbs\u00bb que se anim\u00f3 a la gente a abrir. El cuerpo del mensaje es \u00abpor favor revise la carta de amor adjunta que viene de m\u00ed\u00bb. La l\u00ednea del remitente ser\u00e1 la direcci\u00f3n desde la que se envi\u00f3. El usuario debe descargar y ejecutar el gusano haciendo clic en \u00e9l.El gusano Loveletter provoc\u00f3 cortes generalizados de correo electr\u00f3nico. M\u00e1s de 45 millones de computadoras en todo el mundo supuestamente han sido infectadas por varias cepas del gusano. Los tipos de industrias afectadas incluyen empresas de alimentos, medios de comunicaci\u00f3n, gigantes automotrices y tecnol\u00f3gicos, as\u00ed como agencias gubernamentales, universidades e instituciones m\u00e9dicas de todo el mundo.Storm Worm EmailEl infame correo electr\u00f3nico no deseado enviado en 2007 con el asunto \u00ab230 muertos mientras la tormenta azota Europa\u00bb fue, en un momento dado, responsable de hasta el 8% de todas las infecciones globales de malware. Cuando se abre el archivo adjunto del mensaje, el malware instala el servicio wincom32 y un troyano en la computadora del destinatario, transform\u00e1ndolo en un bot. Una de las razones por las que el gusano de tormenta era tan dif\u00edcil de detectar con el software antivirus tradicional era que el c\u00f3digo malicioso utilizado se transformaba cada 30 minutos aproximadamente.CryptoWall\u00a0CryptoWall es una cepa de ransomware polim\u00f3rfica que cifra los archivos en la computadora de la v\u00edctima y exige el pago de un rescate por su descifrado. El constructor polim\u00f3rfico utilizado en Cryptowall se utiliza para desarrollar lo que es esencialmente una nueva variante para cada v\u00edctima potencial.VirlockEl ransomware Virlock se vio por primera vez en 2014, pero en septiembre de 2016 se descubri\u00f3 que era capaz de propagarse a trav\u00e9s de las redes a trav\u00e9s de aplicaciones de colaboraci\u00f3n y almacenamiento en la nube. Esta cepa utiliza una variedad de t\u00e9cnicas de amenaza.A diferencia de la mayor\u00eda de los ransomware, esta variedad no solo cifra los archivos seleccionados, sino que tambi\u00e9n los convierte en un infectador de archivos polim\u00f3rfico como un virus. Adem\u00e1s de los archivos que estamos acostumbrados a ver como objetivos, Virlock tambi\u00e9n infecta archivos binarios. Esto significa que Virlock arma cada archivo que infecta, cualquier usuario que abra un archivo infectado tambi\u00e9n infectar\u00e1 y cifrar\u00e1 todos los archivos de ese usuario.CryptXXXCryptXXX es un software malicioso de la categor\u00eda criptogr\u00e1fica distribuido con Angler Exploit Kit. Una vez dentro, CryptXXX encripta varios archivos almacenados en las unidades locales y extra\u00edbles. Los archivos han sido encriptados mediante RSA4096, un algoritmo asim\u00e9trico de encriptaci\u00f3n. Esto quiere decir que se ha generado durante la encriptaci\u00f3n una clave p\u00fablica (usada para encriptar) y otra privada (usada para desencriptar).Para restaurar los archivos, los afectados necesitan una clave privada que se almacena en servidores remotos que pertenecen a los ciberdelincuentes. Para conseguir el desencriptador (con una clave privada integrada), las v\u00edctimas deben pagar supuestamente una recompensa. Aparte de eso, CryptXXX recaba varios tipos de datos privados (datos de navegaci\u00f3n, cookies, etc.).CryptoLockerCryptolocker es una amenaza de malware que gan\u00f3 notoriedad en los \u00faltimos a\u00f1os. Es un caballo de Troya que infecta tu computadora y luego busca archivos para cifrar. Esto incluye todo lo que est\u00e9 en tus discos duros y todos los medios conectados, por ejemplo, memorias USB o cualquier unidad de red compartida.Adem\u00e1s, el malware busca archivos y carpetas que almacenas en la nube. Solo las computadoras que ejecutan una versi\u00f3n de Windows son susceptibles a Cryptolocker; el troyano no tiene como objetivo Mac. Una vez que tu computadora de escritorio o port\u00e1til est\u00e1 infectada, los archivos se \u00abbloquean\u00bb mediante lo que se conoce como cifrado asim\u00e9trico. Este m\u00e9todo se basa en dos \u00abclaves\u00bb, una p\u00fablica y otra privada. Los piratas inform\u00e1ticos cifran los datos utilizando la clave p\u00fablica, pero solo pueden descifrarse utilizando la clave privada \u00fanica que poseen.WannacryWannaCry es un ransomware que se propaga aprovechando una vulnerabilidad en el protocolo de Windows Server Message Block (SMB). El protocolo SMB permite la comunicaci\u00f3n entre m\u00e1quinas Windows en una red, y la implementaci\u00f3n de Microsoft podr\u00eda ser enga\u00f1ada por paquetes especialmente dise\u00f1ados para ejecutar el c\u00f3digo de un atacante.WannaCry Ransomware explot\u00f3 en 2017, infectando a m\u00e1s de 230,000 computadoras en todo el mundo y causando da\u00f1os valorados en miles de millones de d\u00f3lares. En 2018 se observaron oleadas adicionales de ransomware.WannaCry fue difundido por EternalBlue, un exploit de d\u00eda cero que usa una versi\u00f3n antigua del protocolo Server Block Message (SMB). Se cree que el exploit fue descubierto por la Agencia de Seguridad Nacional de EE.UU. (NSA) y luego fue obtenido por un grupo de piratas inform\u00e1ticos llamado Shadow Brokers.\u00bfC\u00f3mo protegerse frente a estas amenazas?La protecci\u00f3n contra el malware polim\u00f3rfico requiere un enfoque en capas para la seguridad empresarial que combine personas, procesos y tecnolog\u00eda. Hay una serie de mejores pr\u00e1cticas que las empresas deben seguir para la protecci\u00f3n contra malware polim\u00f3rfico, que van desde las mejores pr\u00e1cticas generales para la protecci\u00f3n contra malware hasta soluciones especializadas para la detecci\u00f3n basada en el comportamiento.A continuaci\u00f3n, se incluyen algunos consejos clave para protegerse contra el malware polim\u00f3rfico:Mant\u00e9n tu software actualizadoUna forma sencilla de ayudar a prevenir infecciones de malware es mantener actualizadas las diversas aplicaciones y herramientas de software que utiliza tu empresa. Los fabricantes de software empresarial como Microsoft, Oracle y Adobe publican regularmente actualizaciones de software que contienen parches de seguridad cr\u00edticos para vulnerabilidades conocidas. La ejecuci\u00f3n de software obsoleto con vulnerabilidades de seguridad deja a tu empresa expuesta a vulnerabilidades que pueden conducir a una variedad de infecciones de malware.No hagas clic en enlaces o archivos adjuntos sospechososLos correos electr\u00f3nicos de phishing u otras comunicaciones electr\u00f3nicas no solicitadas pueden contener enlaces o archivos adjuntos maliciosos que se utilizan para propagar malware. Educar a los usuarios finales sobre c\u00f3mo reconocer enlaces y archivos adjuntos sospechosos puede ayudar a mitigar este vector de entrada com\u00fan para los ataques de malware.Usa contrase\u00f1as seguras y c\u00e1mbialas con regularidadAsegurarse de que tus cuentas est\u00e9n protegidas con contrase\u00f1as seguras y \u00fanicas es otra de las mejores pr\u00e1cticas para la protecci\u00f3n contra malware. Educa a los usuarios finales sobre las contrase\u00f1as seguras y utiliza funciones como la autenticaci\u00f3n multifactor o administradores de contrase\u00f1as seguras cuando sea necesario.Aprovecha las herramientas de detecci\u00f3n basadas en el comportamientoDebido a que el malware polim\u00f3rfico est\u00e1 dise\u00f1ado para evadir la detecci\u00f3n mediante herramientas antivirus tradicionales, las mejores soluciones para esta amenaza utilizan t\u00e9cnicas de detecci\u00f3n avanzadas basadas en el comportamiento. Las soluciones de detecci\u00f3n basadas en el comportamiento, como la detecci\u00f3n y respuesta de endpoints o la protecci\u00f3n avanzada contra amenazas, pueden identificar las amenazas en tiempo real, antes de que los datos se vean comprometidos.La protecci\u00f3n contra malware basada en el comportamiento es m\u00e1s precisa que los m\u00e9todos tradicionales basados \u200b\u200ben firmas que tienen dificultades para hacer frente a los ataques polim\u00f3rficos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/04\/29\/malware-polimorfico\/#breadcrumbitem","name":"Malware polim\u00f3rfico. Todo lo que necesitas saber"}}]}]