Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
Por un tiempo, hace unos meses, parecía que la pandilla detrás de la temida red Trickbot y el malware estaban contra las cuerdas. La policía había hecho retroceder al grupo sobre sus talones y confiscado o cerrado grandes franjas de su red y parecía que el grupo no estaba a largo plazo en el mundo.
Los rumores de su muerte, al parecer, han sido muy exagerados.
La pandilla ha demostrado ser muy adaptable y han respondido a los recientes ataques realizados por los profesionales de seguridad de TI y las fuerzas del orden cambiando su juego.
Uno de los cambios más recientes que han realizado es la reescritura de su malware BazarBackdoor. Al reescribir el código en un lenguaje poco conocido llamado Nim, han podido hacer que el malware sea aún más difícil de detectar. Vitali Kremez es el director ejecutivo de una empresa de seguridad en Internet llamada Advanced Intel.
Kremez dijo lo siguiente sobre el reciente descubrimiento:
“El componente de puerta trasera que es capaz de ejecutar comandos está escrito en el lenguaje de programación NIM para evadir la detección de antivirus. Es probable que el grupo delictivo opte por el desarrollo de malware ligero en Nim para frustrar el mecanismo de detección y antivirus centrado en binarios tradicionales compilados en Lenguajes de estilo C / C ++.
No hace mucho tiempo, Golang se ha convertido en otro idioma preferido por algunas familias de malware, incluido el ransomware RobbinHood, principalmente debido al hecho de que muchos productos antivirus no procesan y caracterizan los binarios no convencionales como malware debido a la sección única y al contenido binario introducido por el Nim y lenguajes exóticos similares “.
También vale la pena mencionar que BazarBackdoor no es el primer malware que se escribe en Nim y otros lenguajes poco conocidos. Los investigadores no se topan con muchos ejemplos de este tipo, pero se sabe que existen al menos algunos más. Por ejemplo, en 2019, MalwareHunterTeam encontró una cepa de ransomware llamada XCry escrita en Nim, y el mes pasado, Advanced Intel descubrió una nueva cepa de ransomware escrita en un lenguaje de programación llamado “D”. Dado eso, parece que tenemos otra cosa nueva de la que preocuparnos.