Los piratas informáticos constantemente perfeccionan sus ataques para lograr sus objetivos. Ya sabemos que existen muchas variedades de malware que pueden robar nuestros datos, contraseñas, comprometer la privacidad o poner en riesgo el buen funcionamiento de los sistemas. Ahora bien, hay que indicar que podemos utilizar numerosas herramientas de seguridad para protegernos. El problema es que esos atacantes también logran en muchas ocasiones saltarse las medidas de protección. En este artículo nos hacemos eco de PowerPepper, un nuevo malware que evade la protección de antivirus para atacar Windows.
PowerPepper, el malware que se salta el antivirus
Windows es el sistema operativo más utilizado en equipos de escritorio. Esto hace que los ciberdelincuentes pongan aquí sus miras para crear software malicioso capaz de infectar este tipo de dispositivos. En ocasiones incluso pueden saltarse las barreras de seguridad, que cada vez son más las que tenemos a nuestra disposición.
Esto es lo que ocurre con PowerPepper, un nuevo malware creado por el grupo DeathStalker y que es capaz de saltarse el antivirus de Windows para poder atacar el sistema. Según el grupo de investigadores de seguridad del que nos hacemos eco, los atacantes han creado una nueva campaña de publicidad maliciosa para enviar este malware.
Lo que hacen es alojar su contenido de manera oculta en servicios tan populares como YouTube o Twitter con el objetivo de llegar a las víctimas. Sin embargo lo más peculiar de este asunto es que logra evadir las medidas de seguridad. Esto les permite pasar sin ser detectados como amenaza.
Los investigadores de seguridad indican que PowerPepper aprovechó DNS sobre HTTPS como un canal C2. Ha utilizado ataques de Spear Phishing. De esta forma logran llegar a la víctima y usar un documento Word que contiene la carga útil.
Puerta trasera PowerShell
Este malware es una puerta trasera PowerShell en la memoria de Windows y se puede ejecutar de forma remota. Utiliza diferentes técnicas, entre las que podemos nombrar detectar el movimiento del ratón, filtrar las direcciones MAC y evadir los antivirus.
El servidor de comando y control que se utiliza para esta campaña se basa en las comunicaciones a través de DNS sobre HTTPS. Para establecer una solicitud de DoH a un servidor C2, PowerPepper inicialmente intenta aprovechar el programa de Microsoft Excel como cliente web y luego regresa al cliente web estándar de PowerShell.
Para protegernos de este problema es muy importante mantener los sistemas y dispositivos actualizados correctamente. Los investigadores de seguridad recomiendan que para evitar PowerShell los propietarios de sitios web actualicen con frecuencia su CMS y todos los complementos que tengan instalados.
Además es esencial el sentido común. Es muy importante que no cometamos errores que puedan provocar la entrada de este tipo de software malicioso. Hemos visto que utilizan archivos de Microsoft Word para colar la carga útil y llegar a infectar los equipos. Este tipo de amenazas puede llegar a través de correos electrónicos maliciosos, con archivos adjuntos que descargamos inconscientemente y que pueden ser un problema importante. Por ello debemos evitar siempre este tipo de errores.
En un artículo hablamos de por qué el antivirus no es suficiente para protegernos en la red. Debemos tener en cuenta siempre todas las medidas de seguridad necesarias para no tener problemas.