Los piratas informáticos buscan constantemente nuevas formas de que sus ataques puedan pasar desapercibidos, tanto para los s como para los programas de seguridad. Y una de las mejores formas de lograrlo es aprovecharse de herramientas y programas legítimos que aparentemente son inofensivos y, por tanto, no levantan sospechas para los antivirus. Así, varios grupos de piratas informáticos han empezado a usar una conocida herramienta de código abierto, Microsoft Build Engine, para crear nuevas amenazas y nuevos virus que están poniendo en peligro nuestra seguridad.
Microsoft Build Engine, también conocida como MSBuild, es una herramienta de desarrollo de Microsoft para compilar sus propios programas, parecido a como funciona la herramienta «make» en distribuciones Linux. Gracias a este programa, los desarrolladores pueden compilar sus programas en cualquier ordenador de forma automática gracias a un archivo XML, que debe ir junto al código, donde se encuentran las instrucciones sobre cómo hacerlo (compilación, empaquetado, pruebas, etc).
Como se trata de una herramienta de Microsoft, y se usa la firma de la compañía, lo normal es que los ejecutables creados con este programa pasen desapercibidos. Y, al final, los piratas informáticos terminan por aprovecharse de esto.
Un troyano roba tus datos y contraseñas
Un grupo de investigadores de seguridad ha encontrado un nuevo tipo de amenaza que está ganando una preocupante actividad en la red. Varios grupos de piratas informáticos están empezando a usar la herramienta MSBuild para distribuir amenazas y compilarlas directamente en el ordenador de las víctimas. Concretamente, lo que hacen es cargar el proceso malicioso directamente en la memoria, evitando ser detectadas por los programas de seguridad.
Concretamente, lo que compilan en los sistemas son tres payloads. Por un lado tenemos dos troyanos de remoto (Remcos RAT y Quasar RAT), y por otro un módulo para robar datos (RedLine Stealer). Cuando estas amenazas se instalan en el sistema empiezan a recopilar todo tipo de información, desde las pulsaciones del teclado hasta los credenciales guardados en el PC y las posibles criptomonedas. Hasta pueden tomar capturas de pantalla para enviarlas al servidor.
analizar todos los procesos en VirusTotal de una vez.