¿Qué es y cómo funciona el malware híbrido?

Introducción

El malware híbrido, también conocido como malware combinado, es una combinación de dos o más tipos diferentes de ataques. Está compuesto generalmente por un troyano o un gusano con adware o malware adjunto.

El malware híbrido también puede actuar como un bot. El objetivo es crear máquinas infectadas como parte de redes de bots más grandes controlada por las botnet “maestras”. Una vez que las máquinas infectadas están conectadas a la red de bots, los hackers pueden alquilarlas a otros atacantes para sus propios fines.

Además, el malware híbrido también puede combinar la capacidad de un virus para alterar el código del programa con la capacidad de un gusano para ocultarse en la memoria. Asimismo, también tiene la capacidad de propagarse sin ninguna acción por parte de un usuario.

En el libro “Malware: Fighting Malicious Code”, Ed Skoudis escribió que la mayoría de los virus modernos entran en la categoría híbrida. Esto porque, además de infectar archivos como un virus, usan la técnica de propagación de los gusanos para diseminarse por toda la red.

¿Qué tan peligroso es el malware híbrido? ¿Por qué los cibercriminales crean malware híbrido? ¿Cuáles son ejemplos de malware híbrido y cuáles son las mejores defensas contra él? Este articulo te aclarará esta y otras dudas.

¿Qué tan peligroso es el malware híbrido?

Para comprender los impactos del malware híbrido, en primer lugar, debemos determinar los daños de sus componentes potenciales. Por ejemplo, los siguientes tipos de malware pueden formar un solo ataque empaquetado, el malware híbrido, y exploraremos brevemente cada uno de ellos:

  • Los virus. Pueden infectar sectores de arranque, archivos host y archivos de documentos (por ejemplo, Microsoft Office, AutoCAD, archivos DOCX, archivos PDF o TXT).  También pueden infectar archivos ejecutables utilizando técnicas de infección complementarias, técnicas de infección adjuntas, sobrescribir técnicas de infección y técnicas de infección previa
  • Los gusanos se propagan a través de la red mediante la explotación de vulnerabilidades en un sistema operativo. Pueden dañar tu computadora al sobrecargar los servidores web y consumir ancho de banda. Además, también pueden contener payloads que pueden dañar tus máquinas host
  • Los Troyanos pueden robar contraseñas almacenadas en caché en el historial de tu navegador. También permiten que los ciberdelincuentes accedan de forma remota a tus tarjetas de crédito y banca en línea, eliminar y destruir archivos de tu computadora. Incluso pueden detectar y eliminar tu firewall y programas antivirus

El malware híbrido utiliza estrategias de propagación cruzada.  Es decir, una sola pieza de malware puede diseminarse a través de los vectores de código móvil, gusanos y virus, todo al mismo tiempo. Los ciberdelincuentes pueden lanzar ataques aún más devastadores utilizando esta combinación de malware.

Los tipos de malware mencionados anteriormente son los componentes básicos que se combinan en un solo paquete desagradable.

¿Por qué los cibercriminales crean malware híbrido?

A diferencia del malware tradicional, la amalgama que es malware híbrido utiliza las ventajas de cada componente básico (por ejemplo, gusanos, virus o troyanos). El malware híbrido es extremadamente efectivo en sus ataques y puede explotar un sistema de defensa considerablemente ajustado.

En general, los programas de seguridad están diseñados para uno o más virus informáticos específicos. Las fuerzas combinadas del malware pueden engañar a la aplicación de seguridad para detectar el virus real, o pueden omitirse en falsos positivos.

Por ejemplo, la herramienta de información de seguridad y gestión de eventos (SIEM) a menudo genera demasiados falsos positivos debido a eventos anómalos o sospechosos. Los analistas de seguridad en los Centros de Operaciones de Seguridad (SOC) no pueden resolver cada falso positivo manualmente. Por lo tanto, deben centrarse en los más serios mientras descartan los otros.

No es necesario escribir código nuevo para cada aspecto del malware híbrido. En cambio, los atacantes pueden tomar prestado el código de las muestras de malware ya existentes e integrar este código en sus últimos productos.

Ejemplo de malware híbrido

En 2001, un desarrollador de malware que se hacía llamar “Lion” lanzó un malware híbrido, una combinación de gusano/rootkit. Los rootkits permiten a los ciberdelincuentes manipular los archivos del sistema operativo. Po su parte los gusanos son potentes vectores que se utilizan para difundir rápidamente fragmentos de código. Imagina lo que sucede cuando los ciberdelincuentes unen Rootkits y gusanos para aprovechar las capacidades de ambos en malware híbrido.

Esta combinación maliciosa ciertamente podría causar estragos: causó daños en más de 10,000 sistemas Linux en 2001. De hecho, el malware combo gusano/rootkit fue diseñado para explotar específicamente las vulnerabilidades en los sistemas Linux.

¿Cuáles son las mejores defensas contra el malware híbrido?

Aunque el malware híbrido es muy sofisticado y difícil de detectar, algunas medidas de seguridad proactivas aún pueden salvarte del desastre:

  • Debes utilizar seguridad de varias capas o defensa en profundidad equipada con un sólido programa antivirus y antimalware. Mantenerse actualizado también es esencial para los equipos de seguridad. Los programas antimalware detectarán y eliminarán inmediatamente los componentes de control del malware híbrido de la memoria
  • Debes usar un firewall, ya que puede ayudar a monitorear el tráfico entrante y saliente y crear una barrera contra conexiones no deseadas o peligrosas. También puedes definir algunas reglas personalizadas allí. El firewall puede interrumpir la comunicación del servidor de comando y control de una botnet con una máquina víctima
  • El sistema de detección de intrusiones (IDS) y el sistema de prevención de intrusiones (IPS) también son invaluables para la seguridad de la red
  • Las configuraciones del sistema deben robustecerce adecuadamente
  • Tienes que ajustar la seguridad de tu navegador
  • Debes actualizar todas las aplicaciones de seguridad regularmente y parchéalas correctamente a través de sus proveedores oficiales
  • Educa a tus empleados sobre los tipos de malware comunes y cómo esos tipos pueden formar colectivamente malware híbrido. Evita hacer clic en enlaces inusuales o no deseados. No descargues archivos desconocidos, y nunca descargues archivos torrent ni visites sitios de dudosa reputación.

Conclusión: el camino a seguir

El malware híbrido es un código peligroso creado mediante la combinación de las capacidades de dos o más programas de malware. Estos programas pueden ser gusanos, puertas traseras o rootkits. Es complejo y difícil de detectar.

Sin embargo, tomar algunas medidas de seguridad proactivas puede salvar a tu organización del desastre. Para este fin, debes implementar seguridad multicapa con programas antivirus y antimalware, firewalls, IDS/IPS, parches, actualizaciones y programas de capacitación de conciencia del usuario.