Los actores de amenazas están utilizando cada vez más un empacador de Delphi para proteger sus binarios de la clasificación de malware por software antivirus y otras soluciones de seguridad.
FireEye analizó varias muestras con la firma «BobSoft Mini Delphi» y determinó que las muestras eran coherentes con las construcciones de código de Delphi. Estos hallazgos revelaron que los binarios de malware se habían empaquetado utilizando un empaquetador Delphi.
La firma de seguridad empresarial observó que las muestras empaquetadas se eliminaban en varias campañas de spam . Una operación utilizó un documento adjunto con macros maliciosos para descargar el malware. Otro aprovechó un documento que explotaba una vulnerabilidad del editor de ecuaciones para desplegar su carga útil empaquetada.
En su análisis, FireEye encontró al menos ocho familias de malware utilizando el empaquetador Delphi para sus campañas. Lokibot fue, con mucho, el más destacado, seguido del descargador de Pony y NanoCore. Los investigadores también detectaron una amenaza criptómina llamada CoinMiner usando el empaquetador.
¿Cómo los actores maliciosos evitan la clasificación de malware?
El empacador de Delphi es solo el último esfuerzo cibernético criminal para evitar que el malware sea detectado o genere ingeniería inversa. Los atacantes hacen esto ocultando sus cargas útiles con un código que no es estrictamente malicioso. En particular, los empaquetadores utilizan una técnica llamada compresión ejecutable para hacer que sus archivos sean más pequeños. El empacador de Delphi se suma a esta funcionalidad al controlar las ventanas y el movimiento del cursor del mouse en busca de signos de un entorno de caja de arena, en cuyo caso se pone en un sueño infinito.
Los empaquetadores no son los únicos servicios que los malos actores utilizan para ocultar su malware. Malwarebytes señaló que los ciberdelincuentes también recurren a los criptógrafos, que utilizan la ofuscación o el cifrado real para que sus cargas útiles sean indetectables, y los protectores, que bloquean los intentos de ingeniería inversa.
Cómo protegerse contra el malware empaquetado
Según FireEye, los profesionales de seguridad pueden proteger a sus organizaciones contra el malware empaquetado mediante el uso de entornos de espacio aislado que modelan el comportamiento real de los usuarios. El aviso de amenazas en IBM X-Force Echange aconseja a los usuarios actualizar su software antivirus y verificar la legitimidad de cualquier archivo adjunto de correo electrónico no solicitado. Finalmente, el personal de seguridad debe analizar la inteligencia de amenazas para conocer los últimos empacadores disponibles en los mercados web oscuros.
Fuente: Securityintelligence.com