Yaakov's Group | Ciberseguridad

Malware Agrega la Detección de Espacio Aislado Any.Run Para Evadir el Análisis

Comparte este post en tus redes sociales

Los desarrolladores de malware ahora comprueban si su malware se está ejecutando en el servicio de análisis de malware Any.Run para evitar que los investigadores analicen fácilmente su malware.

Any.Run es un servicio de sandbox de análisis de malware que permite a los investigadores y usuarios analizar malware de manera segura sin riesgo para sus computadoras.

Cuando se envía un ejecutable a Any.Run, el servicio de espacio aislado creará una máquina virtual de Windows con un escritorio remoto interactivo y ejecutará el archivo enviado dentro de él.

Los investigadores pueden utilizar el escritorio interactivo de Windows para ver qué comportamiento exhibe el malware, mientras que Any.Run registra su actividad de red, actividad de archivos y cambios en el registro.

Malware comienza a detectar si se ejecuta en Any.

En una nueva campaña de spam troyano que roba contraseñas descubierta por el investigador de seguridad JAMESWT, los scripts maliciosos de PowerShell están descargando e instalando malware en una computadora.

Cuando se ejecuta la secuencia de comandos anterior, descargará dos secuencias de comandos de PowerShell en la computadora de la víctima que contienen malware incrustado e incrustado.

El script anterior decodificará el malware incrustado y lo ejecutará en la computadora.

Cuando se ejecute el segundo script, intentará iniciar lo que parece ser el troyano que roba contraseñas de Azorult.

Si detecta que el programa se está ejecutando en Any.Run, mostrará el mensaje ‘Any.run Deteceted!’ y salir Esto hará que el malware no se ejecute, por lo que el entorno limitado no puede analizarlo.

Usando este método, los actores de amenazas hacen que sea más difícil para los investigadores analizar sus ataques usando un sistema automatizado.

Cuando se ejecuta en una máquina virtual normal o en un sistema en vivo, el troyano que roba la contraseña podría ejecutar y robar credenciales de inicio de sesión guardadas en navegadores, programas FTP y otro software.

Si bien esto no evitará que un investigador analice un malware en particular utilizando otros métodos, sí hace que tengan que esforzarse más en el análisis.

Con las plataformas de sandbox de análisis de malware en línea cada vez más utilizadas por los investigadores de seguridad, podemos esperar ver que más malware continúe dirigiéndose a ellos.

Fuente: Bleeping Coputer

Deja un comentario