El malware dirigido a máquinas con Windows sigue siendo una amenaza importante. Estas amenazas pueden adoptar muchas formas, incluidos virus, gusanos y ransomware.
Estos programas maliciosos pueden ingresar a su sistema a través de métodos ilegales como “correos electrónicos de phishing”, “descargas infectadas” y “vulnerabilidades”.
Los investigadores de ciberseguridad de SonicWall han identificado el malware CoreWarrior que ataca activamente a máquinas con Windows desde docenas de direcciones IP.
CoreWarrior es un sofisticado malware troyano persistente. La amenaza exhibe una autorreplicación agresiva al crear hasta “117 copias” de sí misma en “10 minutos”.
El malware CoreWarrior ataca a Windows
Lo que hay que tener en cuenta aquí es que cada copia se crea con un nombre generado aleatoriamente. CoreWarrior utiliza un “ejecutable empaquetado UPX” que ha sido modificado manualmente para soportar los métodos de descompresión estándar.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
En tiempo de ejecución, la “herramienta de línea de comando curl” se utiliza para crear y eliminar copias de URL específicas (http://wecan(.)tiene(.)tecnología /upload).
El malware establece un acceso de puerta trasera vinculando a los oyentes a una amplia gama de puertos ('49730-49777' y '50334-50679') a múltiples direcciones IP, incluido el intento de conexión de 'IP secundaria (172.67.183.40)'.
El malware se conecta a su sitio y publica datos (Fuente: SonicWall)
Además, CoreWarrior se conecta a “elementos de la interfaz de usuario de Windows” con fines de monitoreo. Esto proporciona capacidades mejoradas de “persistencia” y “monitoreo”.
Esta combinación de autorreplicación rápida, comunicación de red e integración de sistemas convierte a CoreWarrior en una seria amenaza para la seguridad y estabilidad del sistema.
Además de esto, para evitar intentos de depuración, utilizamos la instrucción 'rdtsc' ('Leer contador de marca de tiempo') para medir el tiempo de ejecución, que finaliza si se 'supera' un umbral.
Según los investigadores, el malware implementa un temporizador de apagado aleatorio que se ajusta en función de “intentos de conexión”, “éxitos” y “fracasos”, lo que complica un análisis más detallado.
Variables utilizadas para determinar el sueño (Fuente – SonicWall)
También incluye una función de detección de “VM'' que busca “contenedores HyperV'' y le ayuda a evitar ejecutarlos en un entorno controlado.
Para las violaciones de datos, el malware utiliza múltiples protocolos, que incluyen:
“FTP” para transferencia de archivos “SMTP” para envío de correo electrónico “POP3” para recepción de correo electrónico
La combinación de todas estas diversas tecnologías aumenta la “resiliencia” a la detección y el “análisis” de malware y proporciona opciones flexibles para extraer información confidencial de “sistemas infectados”.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
CoreWarrior Malware Attacking Windows Machines With Self-replication Capabilities
