El troyano UpClicker consigue esquivar los análisis automatizados de seguridad

Las técnicas de los ciberdelincuentes se han profesionalizado y algunas piezas de malware ya consiguen evadir los controles de las firmas de seguridad. Es el caso de UpClicker, que se engancha a la funcionalidad del ratón e hiberna hasta que un ser humano lo acciona.

Mientras las empresas de seguridad buscan nuevas formas para proteger a los usuarios, los atacantes investigan por su cuenta para obstaculizar esos esfuerzos de análisis y bloqueo de malware.

Una de sus últimas creaciones es el troyano UpClicker que, como su nombre indica, se aprovecha de la prueba más evidente de que un ordenador está siendo ejecutado por una persona: los clics de ratón. Y su patrón de infección funciona sorprendentemente bien y sin dejar rastro, según dicen los expertos.

“En el caso del análisis automatizado, nosotros ejecutamos los archivos en una máquina virtual y no hay ninguna interacción humana”, dice Abhishek Singh, ingeniero senior de investigación de malware en FireEye. Pero los ciberdelincuentes “han virado hacia algo muy específico, donde a menos que se presione el botón de ratón el malware no hará nada. Esto supone un nuevo reto para los sistemas de sandbox”.

Dado que las firmas antivirus se dedican a rastrear casi un millón de nuevas variantes de malware cada día, cualquier técnica de infección que obstaculice la detección de software malicioso puede tener un impacto dramático.

Cuando consigue entrar en el sistema, UpClicker se engancha al proceso de ratón e hiberna hasta que el botón izquierdo del mismo es accionado. Dado que esto no ocurrirá si no hay un ser humano utilizando el ordenador o hasta que los investigadores emulen de forma artificial este tipo de interacción, ningún entorno de análisis será capaz de detectar un comportamiento malicioso y no se podrá extraer el código del troyano para su disección.

Cuando se ejecuta, UpClicker crea un proceso llamado “Opera”, como el popular navegador web, y a continuación establece un canal de comunicaciones seguro con un servidor de comando y control a través de Internet. Llegados a este punto, los autores del malware pueden instalar componentes adicionales en la máquina de la víctima para adaptar la pieza de malware a sus necesidades.

Y lo que es peor. “Esperamos ver más muestras similares que pueden utilizar un aspecto específico como las pulsaciones de teclas concretas, de uno de los botones de ratón o el propio movimiento del ratón para evadir el análisis automatizado”, predice Singh.