Qué es un descargador: un troyano que solo descarga malware

Amable Cargador Es un caballo de Troya cuya única función es descargar una o más amenazas informáticas y se encarga de realizar las actividades maliciosas deseadas por los ciberdelincuentes. Aunque el descargador en sí no contiene cargas útiles maliciosas para evitar la detección, el malware, debido a su papel en el proceso de infección, se considera tanto un método de propagación como una amenaza, al igual que la implantación de un troyano.

En el pasado, las amenazas informáticas se vieron obligadas a evolucionar constantemente, y un ejemplo de la evolución que persiguen los desarrolladores de malware se refleja en el comportamiento de algunos códigos maliciosos. Por ejemplo, se descubre que se han ejecutado, pero no en la computadora de la víctima, sino en una máquina virtual, lo que significa que un sitio de análisis de malware o un analista analiza el malware con el propósito de que surjan nuevas amenazas, como: Cargador.

¿Cómo funciona el gestor de arranque?

El objetivo del descargador de troyanos suele ser llegar a la computadora del usuario final. Estas computadoras generalmente se alojan como software legítimo en sitios web no oficiales o de terceros, como programas de jailbreak conocidos o descargas gratuitas de software pago.

Los cargadores requieren la interacción del usuario para realizar sus operaciones. En otras palabras, la víctima debe ejecutar el archivo después de descargarlo. Luego, el malware generalmente realiza una descarga legítima del software que afirma estar haciendo, aunque es posible que no esté realizando ninguna operación que el usuario pueda ver, o comenzará a descargar otros archivos en segundo plano. Esta descarga se puede realizar desde cualquier sitio de Internet que albergue una amenaza que finalmente infecte la computadora de la víctima, aunque también se puede enviar desde el servidor de comando y control de un atacante.

Después de descargar la última amenaza para la computadora, el cargador modifica el registro del sistema infectado para que el malware se inicie cada vez que se inicie el sistema. Esta acción, realizada por el cargador de arranque en el registro, es clave para actuar frente a las amenazas, ya que reduce la posibilidad de que se detecten algunos productos anti-malware gratuitos. De esta forma, el descargador no despierta sospechas al ejecutar el último archivo descargado, ya que, como dije, no contiene ningún dato de usuario dañino. Su trabajo es descargar archivos y modificar el registro del sistema para que la amenaza final entre en juego cuando la computadora se inicie. Este comportamiento es el mismo que una actualización automática de la aplicación.

Finalmente, debe quedar claro que el gestor de arranque no es un "cuentagotas". El término "cuentagotas" a menudo se confunde con "descargadores" porque ambos tienen el mismo objetivo final: instalar una amenaza en el dispositivo de la víctima. Ambos son una especie de caballos de Troya, pero el cuentagotas no descarga la amenaza de Internet, la integra en sí mismo.

Ejemplos de cargas recientes

Por lo general, los descargadores no son específicos de ninguna actividad o serie en particular, sino que son códigos genéricos cuya única función es descargar las principales amenazas. Sin embargo, en los últimos años han surgido varias familias de este tipo de malware.

Un ejemplo es Emotet, que originalmente era un troyano bancario y apareció por primera vez en 2014. Poco después, se convirtió en una botnet de rápida expansión que infectó computadoras con archivos adjuntos de correo electrónico maliciosos y luego descargó otras amenazas como Trickbot.

Trickbot, por su parte, también cuenta con un módulo con funciones de gestor de arranque, aunque también está clasificado como troyano bancario entre otras funciones. Una de las amenazas detectadas que Trickbot descargó como cargador de arranque fue Ryuk ransomware.

La infraestructura de TrickBot y Emotet se ha visto muy afectada: en octubre de 2020, la infraestructura de la primera cayó más del 90% debido a una alianza de varias empresas de tecnología y ciberseguridad. Más tarde, a principios de 2021, la botnet creada por la segunda amenaza fue suprimida debido a una investigación a gran escala entre la empresa e Interpol.

Otra actividad que analizamos recientemente usando un troyano Downloader es la billetera de criptomonedas falsa Safemoon, que usa sitios web falsos y mensajes de Discord como método de distribución para descargar e instalar el descargador usando una herramienta de acceso remoto (RAT). Supervise las funciones de la computadora infectada, como un keylogger.