Nuevas tecnologias:malware diseñado por la nuebe

(Imagen: E&J/ Óscar Peña)

La computación en la nube o «cloud computing» está de moda, bajo este término se esconde una tecnología que permite ofrecer servicios de computación a través de Internet. De tal forma que «nube» ha pasado a convertirse en un sinónimo más para referirse a Internet.
Cada día es más frecuente escuchar el término de «nube» para referirse al uso que hacen determinados sitios web, aplicaciones o fabricantes de Internet. Incluso los antivirus como Panda ya empiezan cada vez más a pensar en ofrecer sus servicios de análisis apoyándose en la nube.
La computación en la nube, es un paso más de lo que conocemos como Web 2.0. Gracias a ello se pueden emplear programas y servicios sin que estén instalados (o sólo de forma parcial) en el ordenador propio (por lo que evitamos el mantenerlos actualizados, ya que siempre tenemos la última versión).
Pero este concepto tan novedoso, y en muchos casos útil para una gran parte de los usuarios, no se les ha pasado por alto a los creadores de virus, mafias, estafadores y todos los «malos» en general. Cada vez son más frecuentes los ejemplares de malware que hacen uso de «la nube» para soportar una parte de su «inteligencia de negocio».
Troyanos en la actualidad
En la actualidad, gran parte del malware, y posiblemente el más peligroso por los efectos económicos que puede acarrear, está controlado por los troyanos bancarios. Malware capaz de instalarse de forma prácticamente invisible en el sistema, y permanecer latente hasta el momento en el que el usuario accede a un servicio de banca electrónica, momento en que aprovechará para activarse y robar toda la información del usuario al creador del troyano.
Tanto por el objetivo del propio malware, como por su forma de actuar, gran parte de este tipo de troyanos se apoya en una infraestructura en Internet para su funcionamiento. Es más, cada ejemplar de troyano suele tener varias infraestructuras de las que obtiene información para su funcionamiento.
Generalmente, en un gran número de familias de troyanos, el programa que ejecuta el usuario no contiene el código del troyano propiamente dicho. En muchas ocasiones se trata de un código que descarga e instala de forma transparente para el usuario, el troyano propiamente dicho. Este comportamiento, conocido como «downloader», está destinado a evitar la inclusión de código vírico dentro del archivo y así pasar mucho más desapercibido al análisis de los antivirus.
De esta forma, en muchas ocasiones es el propio código del troyano, el que está en «la nube» esperando a ser descargado. De esta forma el proceso de infección se divide en dos pasos, primero se ejecuta el «downloader» y es éste el que descarga el malware propiamente dicho. Con este método, los atacantes buscan no solo pasar más desapercibido ante los análisis de los antivirus, sino que el código vírico descargado podrá ser modificado o actualizado dentro de la nube en caso de este sea demasiado detectado o el autor desee cambiar su funcionalidad.
Es frecuente encontrar ejemplares de malware, especialmente troyanos bancarios, que una vez instalados en el ordenador pasan a utilizar múltiples recursos de la nube: balizas de control, módulos de datos, y sistemas de envío de datos capturados.
En ocasiones nada más instalarse el troyano se realiza una consulta sobre un script o una página web para de esta forma llevar un contador o control de los ordenadores infectados. Más habitual es la utilización de una dirección (o varias) para descargarse la lista de bancos sobre los que actuar y el comportamiento concreto que deben llevar a cabo para la captura de credenciales y datos de los usuarios específicos de cada entidad. De esta forma el estafador puede actualizar, modificar o incluso ampliar la lista de entidades sobre las que el troyano es capaz de actuar.
Por último, el troyano no tendría ninguna utilidad para su creador si no le llegaran los datos obtenidos (nombres de usuario, contraseñas, claves de transferencia, números de cuenta o de tarjeta, etc.) por lo que deben ser enviados a algún repositorio o cuenta de correo. Para ello el método más empleado se basa en enviarlo a través de algún script a una o varias direcciones web o a diversas direcciones de correo.

El malware en general y los troyanos en particular, que incluyen características que utilizan la nube en Internet, se cuentan por cientos de miles. Cada día se pueden subir a la nube más de 15.000 ejemplares nuevos.
Si un troyano se apoya en varias infraestructuras para su funcionamiento se garantiza no solo la posibilidad de cambiar su comportamiento o de ampliar la lista de bancos sobre los que actúa, sino que además podrá prolongar su vida útil; asegurándose una existencia más duradera en el tiempo y por tanto una mayor rentabilidad económica.
«La nube» como herramienta vírica

El uso de la nube no sólo permite a un troyano modificar su comportamiento, sino que apoyándose en diversas infraestructuras, IPs, dominios y URLs que funcionen de forma redundante, el troyano podrá seguir operativo aunque alguna de dichas URLs deje de estar operativa, bien por una caída temporal o porque se detecte el uso fraudulento del sitio y se proceda a su cierre.
Es importante esto ya que para desactivar una muestra de malware concreta será necesario una actuación coordinada contra todas las infraestructuras en las que se apoya. Un cierre esporádico, temporal o accidental de una sola de las infraestructuras en las que se apoya el malware no será suficiente para lograr que este deje de estar operativo. Teniendo en cuenta que el atacante sigue teniendo control sobre el resto de infraestructuras, no le será complicado realizar una nueva actualización del malware para que cambie su comportamiento y pase a utilizar un nuevo servidor, subirla a cualquiera de los sistemas aun activos para que el malware siga operativo en idénticas condiciones.
Actualmente, una tendencia al alza en los ejemplares de malware que pretenden hacer más daño, es llevar a cabo un uso cada vez mayor de la nube. Para ello se valen de cientos de dominios que el malware genera de forma pseudo-aleatoria basándose en un algoritmo. A los atacantes, que conocen los dominios que el troyano generará y utilizará para la descarga de las actualizaciones, les bastará con ir registrando y haciéndose con los dominios según lo necesiten.
Todo el mercado se mueve hacia la nube, y no sólo las aplicaciones con todas las ventajas que conlleva, sino parece que también el malware. Tendremos que esperar para ver qué nos deparará el futuro cercano, pero lo que está claro es que tendremos que estar preparados para una nueva generación de ciberdelincuentes y de malware.

Por Luis Corrons. Director Técnico de PandaLabs