Gener 28, 2020

The Rise of StarsLord: Un nou programari maliciós per a una nova dècada

Els dispositius i els sistemes operatius canvien amb el pas del temps i, tal com ho fan, alguns dels programes maliciosos que floten al voltant del web queden obsolets, incapaços d’infiltrar-se en defenses noves o de deixar caure la seva càrrega útil en màquines més complexes. Per tant, cada pocs anys, els creadors de programari maliciós han de prendre una decisió: permetre que el programari antiquat mori o l’actualitzi per a la propera generació?

De la mateixa manera que els estudis de cinema semblen desitjosos de renovar les antigues franquícies per al públic jove, també els autors de programari maliciós volen revitalitzar el programari maliciós obsolet per a dispositius nous. Tanmateix, en lloc d’una emotiva Jedi femenina o d’un Pikachu carregat de cafeïna, els usuaris del dispositiu han de desconfiar de StarsLord, un potent programari maliciós de tipus carregador que és l’última actualització de malware que suposa una amenaça.

Què és StarsLord?

Abans de poder fer front a les propietats úniques de StarsLord, és important comprendre la categoria de programari maliciós en què es troba aquest atac. El programari maliciós tipus Loader és com els portaavions d’aplicacions malicioses: tot i que poden incorporar armes, sovint allotgen altres vehicles que s’utilitzen per a l’atac.

En altres paraules, els carregadors estan dissenyats per colar-se en un dispositiu de destinació i després desplegar tota mena d'altres executables maliciosos, que normalment provenen d'un servidor controlat per un atacant. De vegades, els carregadors es descriuen com a troians d’accés remot perquè poques vegades semblen perillosos per als usuaris legítims i donen als atacants el control d’un dispositiu compromès, que és el que ens fa tornar a StarsLord.

StarsLord, també anomenat StarsLoad i sLoad en breu, és un troià basat en PowerShell, és a dir, coopta Interfície d'usuari del PowerShell del Windows, que automatitza tasques informàtiques crítiques i ajuda en la gestió de configuracions.

Bàsicament, PowerShell és una potent eina administrativa per a un dispositiu i un atacant que el controla pot fer allò que els agrada, però no és una característica especialment nova per al programari maliciós. De fet, a la seva cadena d’atac, StarsLord no és tan diferent dels seus predecessors: s’instal·la en un sistema, es connecta al servidor remot i descarrega programari maliciós addicional. El que és revolucionari és com StarsLord evita ser atrapat.

StarsLord aprofita un altre component legítim de Windows, anomenat Servei de transferència intel·ligent de fons (BITS) per transferir els fitxers maliciosos en segon pla, sense executar cap aplicació. A més, StarsLord descarrega el seu script PowerShell mitjançant un fitxer de scripts de Windows i una extensió .jpg. Per tant, alguns serveis antivirus lluiten per identificar el malware com una amenaça.

A més, StarsLord compta amb tot tipus de funcions dissenyades per aclaparar i devastar les mesures de seguretat d’un usuari, que inclouen:

  • Geofencing, o restringir l'accés al contingut en funció de la ubicació d'un usuari
  • Rastreig, o proporcionar a l'atacant informació sobre l'etapa de la infecció
  • Captura, o aïllar màquines d'analistes per frustrar una comprensió més profunda dels processos del malware

Amb totes aquestes funcions avançades, StarsLord sens dubte sembla una important evolució del malware digne de la nova dècada, però hi ha alguna cosa que els usuaris puguin fer per mantenir-se fora de les seves urpes?

Com poden els usuaris aturar StarsLord?

Els carregadors augmenten en complexitat i prevalença gràcies al seu poder i flexibilitat per adaptar-se a les intencions d’un atacant. No obstant això, com que els carregadors no ofereixen la mateixa experiència a cada víctima i perquè els processos dels carregadors no són tan fàcils d'entendre pels aficionats a la tecnologia, els usuaris no estan tan familiaritzats amb els carregadors com amb altres tipus de programari maliciós, com el ransomware. . Malauradament, això significa que actualment no hi ha molts diners i esforços destinats a frustrar aquesta amenaça creixent.

Afortunadament, StarsLord té una cosa crucial en comú amb l’altre programari maliciós, més rudimentari, anterior: com arriba als sistemes d’usuaris. StarsLord sempre arriba als dispositius dels usuaris per correu electrònic, amb un fitxer adjunt ZIP.

El contingut del correu electrònic està personalitzat a l’idioma de l’usuari i pot incloure el nom i les adreces de l’usuari, per inspirar confiança i afavorir la descàrrega del fitxer adjunt. Per tant, els usuaris poden allunyar-se de StarsLord adherint-se a una de les regles més importants de ciberhigiene: no interactueu amb missatges sospitosos. A més, protecció antivirus completa hauria de ser capaç d’identificar l’amenaça al correu electrònic abans que els usuaris cometin cap error.

Potser la lliçó més important de StarsLord és la següent: fins i tot si un remake no dóna notícies, pot ser que estigui afectant la indústria. És probable que el programari maliciós StarsLord i altres tipus de carregador evolucioni de forma espectacular en els propers mesos i anys, convertint-se potser en algunes de les amenaces més perilloses del web. En estar al corrent d’aquests primers desenvolupaments, els usuaris poden saber què han de buscar i com es poden mantenir segurs, fins i tot a mesura que el panorama tecnològic creix i canvia.

Sobre l'autor 

Imran Uddin


{"email": "Adreça de correu electrònic no vàlida", "url": "Adreça del lloc web no vàlida", "obligatòria": "Falta el camp obligatori"}