Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 15 de julio de 2009

Software as a Service en la industria del malware

Hace varios años que tenemos la posibilidad de interactuar con diferentes recursos que se ofrecen vía web sin la necesidad de emplear los recursos, a nivel local, de nuestros equipos; por ejemplo, recuerdo un sistema operativo (eyeOS) que aplicaba en su momento, y aplica, este concepto, además de otros que habitualmente solemos utilizar como Google Apps.

Sin embargo, en la actualidad este concepto responde a una denominación que esta marcando una tendencia bajo el nombre de Cloud Computing (computación en nube) que ofrece una gama variada de servicios que utilizan como infraestructura central Internet (la nube). Cuando los servicios que se ofrecen son programas, es conocido bajo el acrónimo SaaS (Software as a Services – Software como servicio).

La cuestión es que bajo este nuevo fenómeno, los desarrolladores de malware no se quedaron al margen y dan lugar a una nueva nomenclatura que acompaña el concepto de Cloud Computing, MaaSMalware as a Service.

Hace unos meses mencionaba un servicio online pago que permite crear códigos maliciosos con capacidades polimórficas basados en el famoso troyano PoisonIvy, denominado PoisonIvy Polymorphic Online Builder.

Sumándose a esta tendencia de ofrecer servicios a través del protocolo HTTP, aparecen varias alternativas como un servicio similar al anteriormente mencionado, pero gratuito, llamado FUDSOnly Online Crypter, que canaliza su actividad en la manipulación en línea de códigos maliciosos con el ánimo de evitar su detección por parte de las compañías antivirus; contribuyendo a la causa que persiguen los desarrolladores de malware de implementar en sus creaciones procesos anti-análisis.

Básicamente se trata de un crypter. Un tipo de programa generalmente utilizado para cifrar los binarios utilizados en la distribución de códigos maliciosos. Este "servicio" posee la "ventaja" de no necesitar descargar ni ejecutar el crypter de forma local en la PC, sino que todo el proceso se lleva a cabo vía web.

Al finalizar el proceso, el aplicativo devuelve la siguiente leyenda "Su archivo ha sido encriptado sin errores, Servicio ofrecido por FUDSOnly. Click AQUI para descargar." que posee el enlace para descargar el archivo manipulado.

Como "extra", el "servicio" ofrece la posibilidad de insertar en el archivo cifrado con el crypter el Eof Data (información del server que se ubica al final del archivo) para aquellos códigos maliciosos que no lo soporten, a través de un pequeño programa llamado ReEoF.

Este servicio ofrecido para manipular malware, ha tenido una versión previa que demuestra que el concepto ya había sido adoptado por los ciber-delincuentes hace bastante tiempo.

De hecho, son muchos los servicios de este estilo que se han subido a la ola.

La industria del malware se suma al concepto que aglomera los servicios en línea propuestos por la Cloud Computing, ampliando la posibilidad y peligrosidad de las amenazas, de continuar con el cotidiano bombardeo que hacen contra los entornos de información, en busca de ampliar la oferta delictiva.

Información relacionada
Creación Online de malware polimórfico basado en PoisonIvy

# Jorge Mieres

Ver más