TOP. 1
El Principito - Temporada 1
El Principito - Temporada 1
Amazon Prime Video (Video on Demand); Omar Montes, Iván Salcedo, Ángeles Montes (Actors)

El malware TrickBot regresa con nuevas herramientas furtivas
Se descubrió una nueva muestra de TrickBot que verifica la resolución de pantalla de las máquinas de la víctima para ver si el malware se está ejecutando dentro de una máquina virtual.

Para protegerse a sí mismos y a sus sistemas cuando escanean malware, los investigadores de seguridad a menudo lo hacen en una máquina virtual. Como resultado, el malware a menudo usa técnicas anti-VM para detectar si se están ejecutando o no en una máquina virtual.

Las técnicas anti-VM utilizadas por el malware incluyen la búsqueda de procesos específicos, servicios de Windows, nombres de máquinas y la verificación de las direcciones MAC de los adaptadores de red o la funcionalidad del procesador.

Si el malware detecta que realmente se está ejecutando en una máquina virtual, detendrá sus operaciones para evitar dar a los investigadores pistas adicionales sobre cómo funciona y quién lo implementó en primer lugar.

Resolución de la pantalla

Maciej Kotowicz, de la firma de ciberseguridad MalwareLab, ha encontrado una nueva muestra del troyano TrickBot que verifica la resolución de pantalla de una computadora infectada para determinar si es una máquina virtual.

TrickBot originalmente comenzó como un troyano bancario, pero el malware ha evolucionado para realizar otros comportamientos maliciosos, incluida la propagación lateral a través de una red, el robo de credenciales guardadas en los navegadores, el robo de cookies y más .

Kotowicz lanzó por primera vez su descubrimiento en un Tweet en el que reveló que una nueva muestra de TrickBot verifica las máquinas infectadas para ver si tienen una resolución de 800×600 o 1024×768. Si se encuentra una de estas resoluciones, TrickBot dejará de funcionar.

La razón por la que el malware verifica estas dos resoluciones particulares se debe a la forma en que los investigadores configuran las máquinas virtuales que usan para buscar malware. Al configurar una máquina virtual, la mayoría de los investigadores no instalan el software invitado VM que les permitiría usar resoluciones más altas. Sin este software instalado, una máquina virtual generalmente no permitirá resoluciones que no sean 800×600 y 1024×768.

Si bien es desafortunado para los investigadores de malware, este nuevo control anti-VM es bastante inteligente y, con suerte, otros desarrolladores de malware no hacen lo mismo y agregan esta funcionalidad a su malware.

Vía BleepingComputer

Share This