Felipe Tarijon
agosto 17, 2023
5 minutos de lectura

Malware como un Desservicio

El malware como servicio es una tendencia ilegal en auge que los cibercriminales aprovechan para potenciar campañas maliciosas. Ha creado una red de mercado negro cibernético que representa un escenario más complejo de lo que parece, ya que genera distintos tipos de ciberdelitos y fraudes, y crea un punto de entrada para actores de amenazas que puede utilizarse para ataques más sofisticados.

El malware como servicio (MaaS) es un modelo de distribución de software malicioso adaptado del mundo del software legítimo, donde muchos proveedores de aplicaciones utilizan distintos métodos de distribución para hacer el software accesible a los usuarios finales a través de internet.

Seguramente has visto, o has sido usuario de, algún modelo de distribución de software como el software como servicio (SaaS), por ejemplo Google Workspace, Dropbox y Salesforce; la infraestructura como servicio (IaaS) como DigitalOcean y AWS; la plataforma como servicio (PaaS) como Heroku y AWS Elastic BeanStalk; entre otros. Muchos de estos servicios ofrecen pruebas gratuitas, planes de pago por uso y suscripciones mensuales de bajo costo, a la vez que facilitan a sus clientes escalar su uso según sus necesidades. Los proveedores, por supuesto, utilizan los datos recopilados de su amplia base de usuarios para mejorar productos y ofertas.

Ahora los desarrolladores de malware están siguiendo caminos similares, haciendo que el mercado negro del MaaS sea tan popular y competitivo como el mercado convencional de SaaS. Basta con un marketing hábil para construir un flujo de ingresos de MaaS, distribuirlo a los usuarios y luego analizar datos para innovar con nuevas funciones que sigan evadiendo las medidas de detección y seguridad. El anonimato de esta actividad criminal también contribuye a la popularidad del MaaS, donde solo los despliegues más exitosos permanecen activos, mientras que otros que aparentemente han "muerto" pueden reorganizarse, renombrarse y reactivarse fácilmente.

El panorama del Malware como Servicio

Al igual que los negocios legítimos, los creadores de malware como servicio necesitan anunciar sus servicios en algún lugar. Algunos eligen sitios web de clearnet para alojar páginas que describen la funcionalidad del malware, los modelos de precios, los métodos de pago y la información de contacto. Otros prefieren publicar en foros de hacking y otros foros clandestinos para comunicarse con posibles clientes a través de respuestas públicas o mensajes directos. Un ejemplo reciente es este anuncio de malware ladrón de información encontrado en un foro de hacking.

Malware as a Service | Appgate | Threat Advisory Services

Otro método de contacto muy común es a través de Telegram. Este servicio de mensajería instantánea permite a los criminales crear un canal de comunicación anónimo con su base de clientes y utilizar funciones como el cifrado de extremo a extremo, la moderación de conversaciones en canales, la automatización mediante chatbots y la capacidad de cargar archivos de hasta 2 GB, entre otras. La captura de pantalla de Telegram a continuación publicita una amenaza MaaS popular conocida como RedLineStealer con toda la funcionalidad que un actor de amenazas sin experiencia podría necesitar: soporte, guías y un servidor privado virtual (VPS)... todo incluido en suscripciones que pueden pagarse con diversas criptomonedas.

Malware as a Service | Appgate | Threat Advisory Services

Y aquí hay un tipo diferente de malware, un troyano de acceso remoto conocido como Warzone RAT con múltiples capacidades maliciosas, alojado en un sitio de la dark web:

Malware as a service | Appgate | Threat Advisory Services

Características del Malware como Servicio

A medida que las ciberamenazas evolucionan, las soluciones de ciberseguridad también evolucionan para mantenerse un paso adelante de los atacantes. Por eso, cuando se crea una nueva amenaza MaaS, su objetivo fundamental es evadir y ocultarse de las medidas de búsqueda ofensiva de amenazas y las defensas proactivas de las organizaciones objetivo. Las soluciones antivirus, por ejemplo, intentarán escanear el archivo o el código cargado directamente en la memoria usando diversos métodos y técnicas para detectar características o comportamientos sospechosos. Por eso, una campaña de malware necesita utilizar métodos creativos para hacer que los payloads sean indetectables por las víctimas objetivo... al menos por un tiempo.

Este proceso de hacer el malware indetectable se conoce como payloads FUD (completamente indetectables, del inglés fully undetectable). Cada muestra o archivo de malware no es más que una secuencia de bytes que se cargará en el sistema operativo del objetivo cuando lo solicite un usuario u otro programa. Los payloads, en el contexto de los ciberataques, se refieren genéricamente al contenido malicioso, independientemente del método utilizado para distribuirlo u ocultarlo.

Para crear malware indetectable, o payloads FUD, los cibercriminales suelen adquirir programas para ocultar el contenido malicioso entregado a las víctimas mediante ingeniería social. La forma de ocultarlo depende del programa:

  • Protector: protege el código malicioso del análisis y escaneo mediante distintas técnicas, como ofuscación, empaquetado, virtualización, anti-depuración, anti-hooking, etc.
  • Crypter: almacena el código malicioso cifrado y lo descifra en tiempo de ejecución.
  • Binder/Joiner: incrusta el código malicioso dentro de un instalador u otro programa legítimo.
  • Builder: genera el archivo ejecutable o script responsable de ejecutar el payload principal mediante métodos de protección, cifrado y unión.

Estos programas FUD también se ofrecen como servicio para que los criminales puedan convertir su malware en payloads FUD. Es habitual ver estos distintos tipos de programas ofrecidos simplemente como "builders" con capacidades mixtas de "crypter" o "protector". El siguiente ejemplo es un protector publicitado en un foro de hacking como 100% FUD, indicando que evita la detección por la mayoría de los motores antivirus.

Y aquí hay un ejemplo de un programa crypter avanzado utilizado para personalizar malware y crear un payload FUD:

Appgate | Threat Advisory Services | Malware as a Service

Estas características son las que distinguen a un MaaS popular de otros tipos de ciberamenazas publicitadas en foros de hacking. Los criminales buscarán los que hagan durar más sus campañas de malware, logrando infectar el mayor número posible de dispositivos. Las amenazas MaaS suelen incluir un builder/crypter como parte de un plan de suscripción, tanto para retener a su base de clientes como para ayudar al desarrollador del MaaS a verificar la efectividad de su proceso FUD.

Además, algunos desarrolladores de MaaS se enfocan exclusivamente en proveer estos builders/crypters/protectors con actualizaciones constantes y precios accesibles, como se muestra en esta captura de pantalla que presenta un crypter ofrecido como producto en una plataforma de comercio electrónico.

Dado que algunas técnicas para proteger un programa del escaneo o la copia también pueden ser utilizadas por software legítimo, no es raro ver crypters ofrecidos en internet como un servicio de protección genérica para cualquier tipo de software, enmascarando su propósito malicioso y evitando que sean copiados o eliminados mediante acciones legales.

Por lo tanto, así es como los atacantes utilizan las plataformas de malware como servicio para ejecutar ciberataques. Es posible que algunos de estos servicios no ofrezcan realmente todo lo que publicitan, pero dado que la mayoría de sus clientes son criminales sin experiencia, no supone una gran diferencia, porque al final, cierto grado de éxito puede alcanzarse incluso en campañas sin un payload FUD.