Hay una nube de confusión alrededor de los droppers. A menudo visto como una especie de programa de ayuda en un ciberataque, los droppers son en realidad un tipo de malware que juega un papel fundamental. Este artículo explorará el tipo de malware dropper y examinará qué son los droppers, cómo se propagan, cómo funcionan, los tipos y otra información valiosa que te dará una mejor imagen de este malentendido malware.
En este artículo hablamos de:
¿Qué es un dropper en términos de malware?
Un dropper es un tipo de troyano y son tan distintos que pertenecen a su propia raza. Su propósito de firma es instalar otro malware una vez que están presentes en un sistema. De hecho, se denominan trojan-dropper porque colocan malware y componentes de malware en un sistema comprometido. Esta actividad es lo que le ha valido el apodo de “el malware que precipita el malware”.
Para evitar mejor la detección, los droppers normalmente no se guardan en el disco en un sistema comprometido. En cambio, se borran a sí mismos una vez que se ha cumplido su propósito. A menudo realizan diferentes acciones para lograr el objetivo de ataque.
El dropper a menudo se disfraza y oculta en los directorios (carpetas) de una computadora, de modo que, aunque son visibles, parecen programas o tipos de archivos válidos. El propio dropper puede contener uno o varios tipos de malware, quizás con otras funciones para evitar la detección por parte del software antivirus y facilitar la instalación sigilosa.
Los droppers no están asociados con ninguna extensión de archivo, lo que los hace más difíciles de detectar. El software a menudo tiene la forma de un caballo de Troya que ingresa a un sistema a través de un archivo adjunto de correo electrónico o junto con una descarga. Como tal, los droppers son a menudo parte de un intento de spear phishing. Pueden requerir la ejecución del usuario, pero también se pueden ejecutar mediante la explotación de una vulnerabilidad de seguridad.
¿Por qué son tan peligrosos?
Los droppers son un tipo de malware bien conocido que existe desde los primeros días de los troyanos. Descargan, descomprimen e instalan malware en un sistema comprometido solo para profundizar en el sistema adjuntándose a un archivo oculto o eliminándose.
Los investigadores de malware a veces clasifican a los droppers simplemente como una parte de los troyanos. Pero cuando se tiene en cuenta su importancia en las campañas de ataque y su naturaleza independiente de los droppers persistentes, los droppers deben considerarse su propio tipo de malware.
Tipos de droppers
Existen dos tipos de droppers: persistentes y no persistentes. Veamos cada uno de ellos.
Persistentes
Los droppers persistentes son mucho más peligrosos y son los que los califican para ser considerados su propio malware.
Con este tipo, el dropper se adjunta a un archivo aleatorio oculto y crea claves de registro en lugar de borrarse. Estas claves de registro se utilizan para ejecutar el sistema comprometido después de reiniciarlo, de modo que el malware o los módulos maliciosos se puedan descargar nuevamente. Esto hace que la eliminación sea mucho más difícil porque tanto el archivo oculto como las claves creadas deben encontrarse y eliminarse para eliminar el dropper.
No persistentes
Los droppers no persistentes son el tipo más común y el menos dañino. Una vez que se ha eliminado la carga útil de malware, simplemente se eliminan a sí mismos y nunca vuelven a aparecer. Este es el tipo que le ha valido a los droppers su reputación de servo mecanismo.
¿Cómo infectan los droppers un equipo informático?
Los droppers se pueden esparcir de muchas formas. Algunos son obvios y fáciles de evitar, como un archivo adjunto a correos electrónicos no deseados, por ejemplo. Otros métodos de propagación, como las descargas no autorizadas, son bastante sigilosos e invitan a los droppers a ingresar a un sistema simplemente visitando un sitio web infectado.
Las formas más comunes de propagación de los droppers incluyen:
- Visitar sitios web maliciosos
- Hacer clic en enlaces maliciosos
- Archivos adjuntos de correo electrónico no deseado
- Insertar medios extraíbles infectados
- Usar un proxy de Internet infectado
- Descarga de software gratuito infectado
Los droppers también pueden propagarse a través de aplicaciones infectadas, incluso la aplicación aparentemente legítima y ampliamente utilizada. Los investigadores descubrieron recientemente que CamScanner, una popular aplicación de Android con más de 100 millones de descargas, ha tenido un dropper oculto durante algún tiempo.
No hay dos droppers iguales. Algunos operan como programas independientes y algunos son parte de un paquete de malware más grande, a menudo como parte de una familia de malware que ofrece un enfoque de ventanilla única para los ciberataques.
A pesar de esta diversidad de formas y funciones, la mayoría de los droppers tienen las siguientes habilidades en común.
Instalador
Esta primera habilidad que tienen en común los droppers es el instalador.
Los droppers descargarán malware (o sus componentes), descomprimirán el malware o los módulos y luego los instalarán. Esta actividad no causa daño al sistema per se, pero configura el malware que causa este daño.
Evitar la detección
La segunda capacidad que tienen casi todos los droppers es la capacidad de evitar la detección.
Una forma en que pueden evitar la detección es crear mucho ruido alrededor de un módulo malicioso que intenta esconderse de la detección. Este ruido se puede crear descargando y descomprimiendo archivos inofensivos y no relacionados.
Comportamiento común del dropper
Además de las capacidades enumeradas anteriormente, se ha observado que los droppers exhiben el siguiente comportamiento que lo distingue de otros tipos de malware.
- Búsqueda de controles de seguridad disponibles, incluidos firewalls, anti-malware / antivirus, IPS, etc.
- Se conecta a sitios web desconocidos y sospechosos
- Intenta anonimizar u ocultar conexiones con sitios
- Se conecta a sitios en lugares extraños, incluidas partes del mundo conocidas por la actividad de los actores de amenazas más alta de lo normal
- Descarga otros archivos y programas, especialmente aquellos que son maliciosos
- Ejecuta archivos y programas desconocidos o anómalos
- Eliminación de sí mismo después de realizar las acciones anteriores
Ejemplos de droppers
Un ejemplo de dropper es el encontrado en la aplicación CamScanner está en más de 100 dispositivos Android de bajo coste. Esto significa que, a menos que puedas encontrar y eliminar este dropper, tu dispositivo Android de bajo coste puede estar descargando e instalando módulos maliciosos en tu teléfono durante todo el día.
Otro ejemplo de dropper es OnionDuke (descubierto en 2014), llevado por nodos Tor infectados. Es un envoltorio sobre software legítimo. Cuando un usuario descarga software a través de un proxy Tor infectado, OnionDuke empaqueta el archivo original y le agrega un código auxiliar malicioso. Cuando se ejecuta el archivo descargado, el código auxiliar primero descarga malware y lo instala en una computadora, y luego descomprime el archivo legítimo y se elimina para pasar desapercibido.
Consejos para evitar las infecciones por droppers
El malware puede causar muchos daños a tu sistema informático. Cierto malware se encuentra entre la computadora y su conexión a Internet y bloquea algunos o todos los sitios que realmente deseas verificar. También te impediría agregar cualquier cosa en tu PC, particularmente software antivirus.
Si estás leyendo esto, probablemente te hayas infectado con un malware como dropper que te impide descargar un programa de seguridad informática. Aunque este tipo de problema puede ser más difícil de sortear, hay algunas acciones que puedes llevar a cabo.
Instalar el antivirus en modo seguro
El modo seguro es en realidad una versión básica y especial de Windows en la que solo se cargan los servicios mínimos para evitar que se carguen malware y también otros programas problemáticos.
En el caso de que el virus esté configurado para cargarse automáticamente cuando se inicie el PC, cambiar a este modo puede evitar que lo haga.
Para entrar en Modo seguro o Modo seguro con funciones de red, presiona F8 mientras el sistema se está iniciando o ejecuta msconfig y busca las opciones de “Arranque seguro” en la pestaña “Arranque”. Una vez que estés en modo seguro, puedes intentar instalar la aplicación de software anti-malware sin el impedimento del virus. Después de la instalación, ejecuta el escáner de malware para eliminar las infecciones estándar.
Ciertos programas maliciosos pueden apuntar a vulnerabilidades de un navegador web específico que obstruyen el proceso de descarga. Si parece tener un troyano adjunto a Internet Explorer, cambia a un navegador de Internet alternativo con funciones de seguridad integradas, como Firefox o Chrome, para descargar el programa antimalware.
Instalar antivirus en una unidad flash
Otro método es descargar y transferir un programa anti-malware desde una computadora limpia para ejecutar un análisis de virus en el sistema afectado. Sigue estos pasos para ejecutar el antivirus en el sistema informático infectado.
- Descarga el anti-malware en una computadora libre de virus.
- Inserta el pendrive en la computadora no infectada.
- Haz doble clic en el archivo descargado para ejecutar el asistente de instalación.
- Elige una unidad flash USB como el lugar donde el asistente te preguntará exactamente dónde deseas instalar el programa. Sigue las instrucciones para finalizar el proceso de instalación.
- Ahora, transfiere la memoria USB al sistema informático infectado.
- Haz doble clic en el archivo EXE del programa antivirus en la unidad flash.
- Pincha en el botón “Analizar” para ejecutar un análisis completo del sistema y eliminar los virus automáticamente.