¿Qué es el malware polimórfico?

El malware polimórfico es una cepa de malware en evolución que muta con frecuencia sus características para eludir la detección de las soluciones de seguridad tradicionales. Emplea técnicas evasivas cambiando pequeñas secciones de su código original, alterando su apariencia, características y comportamiento. El malware puede evolucionar en varios tipos, incluidos troyanos, virus o gusanos, para cumplir un objetivo previsto. Como su código es irreconocible para muchas técnicas de detección, el malware polimórfico suele realizar ataques de forma imperceptible.

Cómo funciona el malware polimórfico

El malware polimórfico aprovecha una clave de cifrado para alterar su forma, firma y patrón de comportamiento. Utilizando un motor de mutación y una cepa de código autopropagada, cifra su código y cambia la forma en que se crean los archivos físicos. Muchas soluciones de ciberseguridad tradicionales que se basan en la detección por firmas -técnica en la que los sistemas de seguridad identifican un malware basándose en sus características conocidas- no reconocen ni detectan las amenazas polimórficas.

Un ataque polimórfico suele constar de las siguientes etapas.

Infección

El malware polimórfico es cifrado inicialmente por un agente de amenazas que lo utiliza para infectar el sistema o archivo de destino. A menudo, el malware polimórfico se disfraza de software legítimo o aprovecha las vulnerabilidades del usuario para entrar en el sistema.

Mutación

Una vez descargado, un motor de mutación crea una nueva rutina de descifrado adjunta al malware, haciéndolo aparecer como un archivo diferente. El malware modifica su código y crea versiones únicas de sí mismo para eludir los sistemas de seguridad que se basan en la detección por firmas.

Ataque

Una vez que el malware polimórfico ha infectado el sistema, ejecuta su código malicioso. Esto puede implicar diversas acciones, como robar datos, propagarse más allá dentro de la red, explotar vulnerabilidades o modificar archivos y configuraciones del sistema.

Persistencia

El malware polimórfico pretende establecer una presencia a largo plazo en el sistema infectado. Puede actualizarse periódicamente y cambiar su código para evadir la detección y eludir las medidas de seguridad, continuando con sus actividades maliciosas.

Ejemplos de malware polimórfico

El polimorfismo en el desarrollo de malware existe desde la década de 1980, y la mayoría de los actores de amenazas implementan técnicas polimórficas al crear código malicioso. El uso de estas técnicas evasivas durante los proyectos de desarrollo de malware permite a los agresores aumentar la duración de sus ataques al retrasar la detección y mitigación por parte de los equipos de seguridad.

Ataques polimórficos notables

Gusano de correo electrónico Storm: En 2007, un famoso correo spam con el asunto "230 muertos mientras una tormenta azota Europa'' fue responsable de hasta el 8 por ciento de todas las infecciones de malware del mundo. Cuando los usuarios abrían el archivo adjunto en su correo electrónico, el malware instalaba el servicio wincom32 y un troyano en la máquina del destinatario, convirtiéndola en un bot. El código malicioso utilizado en el gusano de la tormenta mutaba cada 30 minutos, lo que dificultaba su detección con las herramientas de seguridad habituales.

Crypto Wall: Entre 2014 y 2015, CryptoWall utilizó correos electrónicos de phishing y kits de exploits para infiltrarse en los dispositivos y cifrar los datos de los usuarios. La cepa polimórfica de ransomware evolucionó para crear una nueva variante para cada víctima potencial. El IC3 informó de que se perdieron más de 18 millones de dólares de las 992 víctimas que denunciaron ataques durante ese tiempo.

Beebone: En 2015, este malware botnet infectó casi 12.000 sistemas utilizando un descargador polimórfico. El atributo polimórfico de esta red de bots dificultó su rastreo, por lo que para acabar con ella fueron necesarias varias fuerzas de seguridad internacionales con sofisticados conocimientos y recursos de colaboración.

Cómo defenderse del malware polimórfico

Aunque el malware polimórfico puede ser difícil de detectar, existen soluciones de ciberseguridad eficaces para ayudar a prevenir y defenderse de los ataques polimórficos.

1. Establecer una estrategia global y preventiva de ciberseguridad

Mantener las mejores prácticas básicas de ciberseguridad, incluida la higiene de la seguridad del correo electrónico, el refuerzo de los sistemas en toda la organización, y mantenerse informado y alerta es clave para mejorar la resistencia cibernética y mitigar las vulnerabilidades.

2. Implantar soluciones de seguridad para puntos finales

Invertir en seguridad para puntos finales protege todos los dispositivos de los usuarios finales frente a los ciberataques y es esencial para defender la red de una organización frente a las amenazas. Esta solución de seguridad incluye funciones como la supervisión continua, la protección frente a la pérdida de datos y la respuesta ante incidentes.

3. Utilice el Acceso a la Red de Confianza Cero

Zero Trust Network Access (ZTNA) es una solución de seguridad robusta que asume que ningún usuario o dispositivo debe ser de confianza automática dentro de una red. Requiere que los usuarios se verifiquen y autentiquen a sí mismos, reduciendo las posibilidades de acceso no autorizado.

4. Construir una cultura de ciberseguridad

Un sólido programa de formación para la concienciación sobre la seguridad es un mecanismo preventivo eficaz, ya que los actores de amenazas a menudo aprovechan las estafas de phishing como puerta de entrada para instalar malware polimórfico. Educar y formar a los usuarios sobre cómo identificar y responder adecuadamente a las estafas de phishing y otras ciberamenazas es vital.

5. Aplicar parches y actualizaciones de seguridad

Mantener una cadencia proactiva de aplicación de parches al sistema es un método eficaz para prevenir y defenderse del malware polimórfico. La aplicación de parches de seguridad y actualizaciones de proveedores a todo el software, incluidos los sistemas operativos, elimina los puntos débiles explotables a los que tiende a agarrarse el malware.

Malware polimórfico frente a malware metamórfico

El malware polimórfico y metamórfico son tipos de cepas de malware en evolución capaces de modificar su código. El malware polimórfico logra cambios en el código mediante claves de cifrado, mientras que el metamórfico reescribe su código sin clave de cifrado. El malware metamórfico se considera más raro y avanzado, ya que los actores de amenazas deben emplear diversas técnicas de conversión para aprovechar sus capacidades.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD^® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con la protección de puntos finales basada en IA (EPP) a través de CylanceENDPOINT^™. En resumen, CylanceGUARD proporciona a las empresas con las personas y la tecnología necesaria para proteger a la empresa contra el panorama moderno de amenazas.

SABER MÁS