Los creadores de malware siempre intentan adaptarlo para que sea lo más «invisible» posible para el sistema y los usuarios, pero una campaña reciente centrada en Windows eleva ese listón bastante alto.
Un grupo de investigadores de seguridad reveló recientemente una nueva campaña de malware que oculta sus actividades a través del registro de eventos de Windows.
Según la empresa de seguridad. kaspersky, afirma haber descubierto un paquete de malware que parece, por ahora, estar muy centrado en las víctimas, en lugar de un ataque generalizado a la plataforma. Sin embargo, la investigación reveló que este malware utiliza una técnica un tanto novedosa para ocultar sus actividades.
El malware procesa los comandos de ataque a través del propio registro de eventos del sistema (los registros de Windows), además de utilizar un archivo DLL modificado para que pueda «leer» los comandos del registro y ejecutarlos en el sistema. El proceso de registro de eventos de Windows se coloca como una tarea programada en el sistema y escanea los registros mediante comandos de forma recurrente.
Cuando los encuentra, son procesados por el archivo DLL modificado para «leerlos», que luego ejecuta el ataque. Lo más curioso es que el archivo DLL modificado es completamente inofensivo cuando se usa solo: solo cuando lee los comandos enviados al registro de Windows, luego el código se ejecuta maliciosamente.
Cabe señalar que no es la primera vez que se explora la posibilidad de usar el Registro de Windows para realizar ataques, pero sí es la primera vez que se confirma que un malware lo usa para este tipo de actividad.
Por el momento, el malware parece estar dirigido en gran medida a objetivos específicos en lugar de algo que tiene como objetivo infectar tantos dispositivos como sea posible.
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».
