El mes pasado se revelaba un malware denominado sLoad dentro de un informe de Microsoft. Y ya tenemos una versión renovada denominada Starslord o sLoad 2.0. Desde Microsofters os ayudamos a que estéis informados ante este nuevo tipo de malware y como opera.
Como funciona el malware sLoad 2.0
La realidad es que este malware sLoad no es algo nuevo. Es una variante de un malware que ha existido durante años. El malware es lo que alguien llamaría un «descargador de malware» o «cuentagotas de malware».
El propósito principal de sLoad es infectar equipos con Windows, recopilar información sobre el sistema que ha sido infectado, enviar esta información a un servidor de comando y control (C&C), y luego esperar a las instrucciones para descargar e instalar una segunda carga útil de malware.
El malware existe como enlace de un sistema diseñado para entregar otros malware más potentes. De hecho ofrecen la vulnerabilidad de tu equipo a otros ciberdelincuentes para instalar sus troyanos, como el troyano bancario Ramnit. sLoad ha destacado por su bajo nivel de sofisticación y por el uso de técnicas poco habituales.
La obsesión de sLOAD con BITS
Según un informe de Microsoft de diciembre de 2019, sLoad se había convertido en una de las pocas variantes de malware que portaron todos sus sistemas de comunicaciones host-servidor al servicio WINDOWS BITS.
Para aquellos que no están familiarizados con el término, Windows BITS es el sistema predeterminado a través del cual Microsoft envía actualizaciones de Windows a usuarios de todo el mundo. El servicio BITS funciona detectando cuando el usuario no está utilizando su conexión de red y utilizando este tiempo de inactividad para descargar las actualizaciones de Windows.
Pero el servicio BITS no está totalmente reservado para el proceso de Windows Update. Otras aplicaciones pueden aprovechar BITS y utilizarlo para programar tareas y operaciones de red que tendrán lugar cuando la conexión de red del equipo se inactiva.
El malware configuraría tareas programadas BITS que se ejecutarían a intervalos regulares. Estas tareas se utilizarían para hablar con su servidor C&C, descargar malware secundario, e incluso enviar datos desde un host infectado de vuelta al servidor C&C.
Cambiando el modus operandi
El informe de Microsoft del mes pasado expuso las capacidades de sLoad y aumentó la conciencia entre los proveedores de seguridad sobre el modus operandi del malware. Este tipo de informes son terribles para los creadores del malware al ser detectada su manera de actuar. Esto conlleva que cambien su manera de actuar esperando no ser detectados.
Los creadores de sLoad hicieron eso. En pocas semanas, renovaron su código y cambiaron las cosas, enviando un nuevo sLoad v2.0 con el nuevo año. Sin embargo, si creían estar un paso por delante de Microsoft se equivocaban. La compañía publicó otro informe detallando el nuevo v2.0 tanto o más que el v1.0.
Según Sujit Magar, un analista de malware parte del equipo de investigación de ATP de Microsoft Defender, sLoad 2.0 ha permanecido en gran medida igual, todavía utiliza BITS exclusivamente para todas las operaciones de red, todavía confía en los scripts de PowerShell para la ejecución sin archivos, y todavía trabajando como un descargador de malware para otros grupos criminales.
Las únicas cosas que cambiaron fue el uso de scripts WSF en lugar de scripts VB durante el proceso de infección, la adición de comprobaciones para detectar si los analistas de malware están mirando el código, y la implementación de un nuevo sistema que realiza un seguimiento de las etapas de una infección sLoad.
Parece que Microsoft está más atenta que nunca a los posibles problemas de seguridad de Windows. Veremos si los ciberdelincuentes se quedan sin ideas o son capaces de burlar la férrea seguridad que ha impuesto Microsoft en Windows.
