Por Noticias TNE
El software malicioso no se puede detectar con los antivirus tradicionales. Se queda oculto, extrae la información sensible y posteriormente se elimina solo.
La reconocida firma de seguridad informática, reveló haber encontrado un malware que se oculta en la memoria y en las aplicaciones para luego robar información confidencial. Hasta ahora se han visto comprometidos 140 bancos, instituciones gubernamentales y empresas de telecomunicaciones.
Estados Unidos es el país con el mayor número de infecciones, pero también destacan en la lista Ecuador, Francia, Kenia, Rusia, Reino Unido, Arabia Saudita y la Ciudad del Vaticano, entre otros.
Una vez que el software malicioso se ejecuta en Windows se elimina cualquier rastro de su existencia, alojándose en el servidor infectado durante el tiempo suficiente para extraer la información para luego eliminarse a sí mismo.
Denominados como MEM:Trojan.win32.cometer y MEM:Trojan.win32.metasploit, estos no pueden ser detectados por los programas de antivirus comunes, usados para analizar el Disco Duro; por el contrario, se esconden en otras aplicaciones que los vuelven indetectables, incluso para los servicios de lista blanca usados por diversos firewalls.
Si bien los investigadores pudieron comprobar las técnicas usadas por los perpetradores, lo difícil es identificar quiénes son, debido a que fueron realizados con herramientas tecnológicas de uso común, además de contar con habilidades y conocimientos para evitar ser detectados.
“Por ello la memoria forense se vuelve crítica para el análisis del malware y sus funciones”, comentó Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab. “En estos incidentes particulares, los atacantes usaron cada técnica anti forense posible, demostrando que no se requieren archivos de malware para extraer información de una red y cómo el uso de fuentes legítimas de código abierto hacen imposible la atribución de los hechos”.
Los métodos utilizados para realizar los ataques, según la firma de seguridad, son similares a las que se llevaron a cabo por parte de grupos, anteriormente dados a conocer, como GCMAN y Carbanak.
Afortunadamente, es posible deshacerse del programa malicioso reiniciando la computadora, aunque ésta queda vulnerable a infectarse de nuevo. Entre otras medidas para salvaguardar la información se encuentran buenas prácticas como el mantener los servidores actualizados.
