La ciberseguridad nos protege, nos da confianza, es una inversión y nos ofrece enormes beneficios. Los malware inteligentes actuales integran numerosas funcionalidades y mecanismos para su no detección. En el presente artículo se aborda por una parte la tipificación del malware en base al criterio de su funcionalidad. Así mismo, se clasifica el malware en categorías en base al criterio del mecanismo utilizado para su ocultación. Finalmente se explora la interacción del malware con el entorno y el malware en dispositivos ATM.

INTRODUCCIÓN.
El término malware (integra las palabras malicious software-firmware-hardware) es tanto una ciberamenaza, como una ciberarma (sin restricciones y con ganancia de funciones para ciber-guerras; ejemplos de ciberarmas son: Duqu, Equation Group, Stuxnet, Flame, Gauss, Careto-The Mask, GreyEnergy, etc. Las ciberarmas penetran, se instalan y si se ven cogidas ponen semillas de supervivencia y desaparecen. Utilizan infinidad de mecanismos como dropper para lanzarlos, spreading para propagarse, esteganografía y técnicas anti-forenses para ocultarse, canales subliminares para comunicarse, etc.), como una herramienta sofisticada para realizar ciber-ataques (utiliza vectores de ciberataque como spear-phishing, vulnerabilidades no parcheadas, etc.

Se observa una superficie de ciberataque que crece día a día debido a IoT, 5G, dejadez, etc.). El malware puede manifestarse en tres formatos, es decir, puede ser de tres naturalezas:

(1) Software (en forma de programas o código pernicioso compuesto por instrucciones que se aprovechan de bugs como mala gestión de memoria, deficiente validación de entradas de usuario, error runtime, race-condition, incorrectos privilegios de acceso de usuarios, vulnerabilidades de diseño, implementación, diseño, etc.),

(2) Firmware (en forma de microprogramas o microcódigo insidioso compuesto por microinstrucciones) y/o

(3) Hardware (en forma troyanos hardware: circuitos, chips, electrónica embebida, tarjetas madre, etc. maliciosas-patológicas autónomas y/o en coordinación con malware de tipo software y/o firmware. Algunas contramedidas son TPM/Tamper-Resistent Hardware, TCB/Trusted Computing Base, Watermarking-Ofuscación hardware, tecnología PUF anti-clones, detectores de señales hardware de fisgoneo side-channel, etc.).

El malware (utiliza vulnerabilidades y exploits y las consecuencias son muy diversas: puertas traseras, acceso a datos de proceso, escalada de privilegios, divulgación de información/espionaje, manipulación de ficheros-datos, noticias-ficheros-fotos falsas en nubes, DoS (Denied of Services), RCE (Remote Code Execution), autenticación y cifrado débil, cryptojacking, infección en la cadena de suministro, cryptomining, enumeración de usuarios, BEC (Business Email Compromise), etc.) puede contagiar-infectar-afectar-propagarse a software, firmware, hardware, personas, objetos, medio ambiente, etc. El malware puede ser bien autónomo (con autocontrol, inteligencia artificial y realimentación en lazo cerrado) o bien guiado (de forma local y/o remota utilizando canales subliminares, esteganográficos/cifrados, con transferencias invisibles, con anonimato anidado, C&C con un conjunto de botmaster o entidades de inteligencia artificial). El malware puede ciber-atacar todo nuestro mundo tanto físico-analógico como cibernético-digital (software, firmware, hardware, OT, IT, objetos/plataformas IoT, IIoT, IoMT, contenidos (vídeos, podcast, blogs, notas de voz, Google Play, AppStore, etc.), móviles, electrodomésticos, juguetes, PCs, tablets, wearables (son dispositivos que se llevan como anillos, pulseras, prótesis, smart-watches, Google-glass las gafas nos ofrecen servicios como la traducción de textos de carteles peligrosos en otros idiomas, cascos de bomberos con realidad aumentada, prendas textiles infantiles que avisan al smartphone de la madre con una APP si tiene fiebre su bebe, ventosas colocadas en el abdomen del paciente que periódicamente pinchan con una aguja para saber el nivel de azúcar del paciente y en su caso automáticamente con otra aguja inoculan la insulina necesaria, ciber-prótesis como marcapasos, implantes cocleares, etc.), robots, ERP, CPS, IT, OT, ciber-espacio (el ciberespacio está presente dentro de los otros cuatro frentes de defensa que son: tierra (vehículos, instalaciones, armas sónicas, etc.), mar (submarinos, barcos, etc.), aire (aviones, drones, etc.) y espacio (satélites de comunicaciones, estaciones orbitales, sondas espaciales, satélites con armas estilo proyecto Thor, etc.).

Otras áreas específicas de ciberataque son: las Bases de Datos (donde el malware cambia datos, espía, crea anomalías, impide ciertas búsquedas, etc.), la privacidad de personas y entidades (El malware puede ciber-atacar a la privacidad de entidades de muchas formas:

(1) Datos salientes (capturando lo que tecleamos, visitamos en Web, con keylogger, spyware-creepware (activando nuestros Webcams y micrófonos en smartTV, smartphones, PCs, etc.) nuestra geolocalización y triangulación de móviles, con capturadores de cookies, registros de logging, vigilancia y trazabilidad por cámaras, sensores, Bluetooth, WiFi, etc.).

(2) Datos entrantes (con comunicaciones no solicitadas, spam, phishing, SMS, MMS, call-bot, chat-bot, pendrives infectados, cookies, ciber-intrusión, etc.) ), los algoritmos de reconocimiento facial basados en inteligencia artificial (el malware puede engañar para que no reconozcan objetivos/víctimas e impidan su eliminación por parte de redes de drones asesinos, por ejemplo, modificando las firmas-patrones faciales de los objetivos por otros patrones que no existan en el género humano generados por IA. También el malware puede reemplazar objetivos criminales por objetivos legales. Así mismo el malware puede impedir a los sistemas de reconocimiento facial encontrar objetivos a nivel mundial-nacional, por ejemplo, cambiando los patrones faciales o perturbando el proceso de identificación-detección), los sistemas OT (el malware puede generar efectos devastadores en procesos industriales, ICS, SCADA, CPS, etc. Algunos malware encontrados son MuddyWater, Sharpshooter, GreyEnergy, etc.), las criptomonedas/criptodivisas/criptoactivos (existe malware criptomining, por ejemplo, que se descarga de forma oculta al bajarnos una canción o película y que convierte nuestro dispositivo en un “minero de criptomonedas ilegal” que entrega al ciber-atacante las criptodivisas generadas en nuestro dispositivo consumiendo CPU/GPU y energía de la víctima.

Existen numerosas criptomonedas como bitcoin, litecoin, ethereum, ripple, mercoin, dogecoin, monero, etc. algunas de más fácil trazabilidad que otras), redes (WPAN-Bluetooth, ZigBee-IEEE802.15.4, 6LowPan, WLAN-WiFi6/IEEE802.11ax, LoRaWan, Sigfox, NFC, Manet, RFID, WSN, UWB, Ethernet de automoción conforme al estándar IEEE802.3ck a 800 Gbps, Ethernet de automoción IEEE802.3ch a 10Gbps, InfiniBand a 1200 GBps, redes celulares WWAN basadas en SIM multi-IMEI como 2G-GSM, 2,5G-GPRS, 3G, 4G, 5G, la próxima 6G (con velocidades de datos de un Terabps, bandas de TeraHertzios y latencia menor de un milisegundos, útiles en aplicaciones como comunicaciones holográficas, Internet táctil, etc.), IEEE802.3ba hasta 100G sobre fibra, etc.), los vehículos conectados y autónomos (a pesar de existir especificaciones para ciberseguridad funcional como ISO 26262, los vehículos presentan infinidad de vulnerabilidades como códigos sin firmar, tele-actualizaciones deficientes, posible conexión remota WiFi-Bluetooth-5G, posibilidad de acceder a los programas que regulan el funcionamiento de frenos, encendido-apagar motor, control de dirección, ABS, ventanillas, ventilación, air-bags, impedir ecall, etc. Los vehículos con comunicaciones de todo tipo con el mudo a su alrededor (o V2X vehículo con vehículo, vehículo con señales, vehículo con nubes, etc.) ofrece ventajas, pero también una mayor área de ciber-ataques. Se ciber-ataca de forma creciente a todo tipo de vehículos, buques, empresas de logística-transportes, fabricantes de vehículos, etc.), los sistemas de relojes y sincronización de tiempo (como los basados en redes NTP con servidores públicos y/o privados y los basados en relojes atómicos en red o aislados-privados, por ejemplo, basados en máser de hidrógeno), las personas (el malware puede herir, enfermar, matar, perturbar mentalmente, provocar suicidios, puede realizar operaciones de control mental, puede engañar con ingeniería social y deformación-atajos cognitivos, puede realizar operaciones de influencia, desinformación, fancileaks o filtración inesperada, etc.

Existe una preocupación creciente por educar en ciberseguridad a todos los ciudadanos con proyectos como “ciberseguridad ciudadana”), los altavoces inteligentes (infectados por malware para funcionar como armas sónicas), las ciudades y smart-cities (el malware puede perturbar semáforos controlados de forma remota, la gestión del alumbrado, gas, agua, calefacción basados en comunicaciones inalámbricas puede apagarse o cortar el suministro, paralizar aeropuertos cortando electricidad, ventilación, control de acceso, etc.), el medio ambiente-ecología-sostenibilidad (el malware puede dañar infraestructuras críticas donde se utilizan CPS, ICS, PLCs, etc.), infraestructuras, servicios, sitios Web, motores de búsquedas (Google, Baidu, Yahoo, Bing, etc. El malware puede impedir acceso a contenidos, puede hacer visibles sólo ciertos contenidos, etc.), APPs, mundos virtuales (Second Life, etc.), asistentes personales de voz virtuales (Siri, Alexa, Celia, Cortana, Bixby, etc.), redes sociales (Instagram, Facebook, Twitter, Tik-Tok, etc. El malware puede espiar, desinformar, dañar, trastornar, engañar, infectar, por ejemplo, ficheros, botones como “me gusta”, etc.), realidades artificiales (realidad virtual, realidad aumentada, realidad disminuida, post-realidad, realidad extendida, etc.). la inteligencia artificial autorizada (el malware puede perturbar motores y modelos de deep-learning, puede realizar acciones malévolas, etc.), la mensajería instantánea (Whatsapp, Telegram, etc.), las nubes (cloud-fog-edge computing, públicas y privadas), los satélites (GPS, Glonass, BeiDou, GNSS, Galileo, etc. El malware puede engañar a la geolocalización, puede informar de la geolocalización de activos críticos, etc.), los sistemas operativos-hipervisores (Windows, Linux, Solaris, VMware, iOS 14, Android 12, etc. El malware XAgent cibera-ataca a sistemas Mac), los navegadores Web (Google Chrome, Mozilla Firefox, Safari, Tor, etc.), etc. No debemos subestimar las capacidades del malware, día a día incrementa el número de especies, variantes cada vez más inteligentes, peligrosas, multifuncionales, no detectables, persistentes, con potencial para actualizarse, basadas en IA, modulares, de elevadísima ciber-resiliencia y supervivencia, sigilosas, asintomáticas, con multiplicidad de carga infectante (carga útil) y que generan acciones-operaciones con perversión e insidia creciente. El moderno malware inteligente, modular, no detectable, ciber-resiliente, actualizable, etc. sobrevive a los antimalware es asintomático y cuando se deja ver una parte no relevante es porque quiere. Es susceptible de sobrevivir a mecanismos de eliminación, purga (con procesos catárticos en segundo plano), desactivación, desinfección, confinamiento (se fuga de sandboxing, zonas estancas, DMZ, salta entre máquinas virtuales aisladas, etc.), etc. y puede conectarse con el exterior para actualizarse, aumentar su potencia, ciber-resiliencia e incrementar su diversidad de cargas útiles. Cuando el malware se ve ciber-atacado se oculta más, esquiva, realiza movimientos laterales no detectables-predecibles, genera nuevos nombres de dominios, crea módulos de malware de sacrificio para dejarse matar y engañar al antimalware que ha sido destruido. Es una necesidad muy urgente prepararnos y adaptarnos (utilizando todo tipo de herramientas, estrategias, tácticas, procedimientos, buenas prácticas, recomendaciones, protocolos-códigos, directivas, leyes/cumplimientos, políticas, normas, estándares, formación-concienciación, etc.) frente a posibles crisis ciber-epidemiológicas sin aviso, e incluso ciber-pandemias malware que podrían hundir nuestro mundo a todos los niveles: personas, medio ambiente, tecnologías OT/IT, infraestructuras, finanzas, vehículos conectados y autónomos, drones, sanidad, organizaciones, telecomunicaciones, redes sociales, realidad virtual, realidad aumentada, realidad disminuida, etc. Alguien dijo alguna vez (Carlos Varela) “una palabra no dice nada y al mismo tiempo lo esconde todo”, en el presente contexto esa palabra es “malware”.

Cada vez más, los distintos tipos o funcionalidades asociadas a un malware van siendo más difíciles de detectar, más persistentes, más ciber-resilientes, más tolerantes a fallos (si por suerte se detectan y eliminan, previamente, el malware, ya ha dejado en múltiples sitios ocultos múltiples semillas para una ulterior reinfección asintomática automática), etc. La carga eléctrica pública por USB o inalámbrica por NFC de móviles, PCs, drones, etc. puede, a través de los hilos-canales de datos, inyectar malware, espiar carpetas, modificar datos, programas, APPs, etc. El malware no detectable inteligente puede generar multiplicidad de efectos desde su lado oscuro (causar daños, afecciones, patologías, externalizar un conjunto muy elevado de puntos falsos de anomalías, perversiones, exteriorizar síntomas de forma caótica, etc.). No confundir nativo digital con conocedor de ciberseguridad ya que normalmente sus capacidades y habilidades en ciberseguridad son mínimas. Ya desde hace tiempo se puede observar desde la perspectiva del malware un mundo distópico cada vez en más áreas y la solución es inundar de proyectos eficaces en ciberseguridad.

TIPOS DE MALWARE POR FUNCIONALIDAD.

Los malware se pueden clasificar de muchas formas atendiendo a diferentes criterios. Por ejemplo, utilizando el criterio funcionalidad, existen múltiples clases-tipos-familias-categorías de malware:
1) Worm o gusano. Es un tipo de funcionalidad de malware que se aprovecha de las vulnerabilidades, por ejemplo, de los sistemas operativos para instalarse en las redes (una vulnerabilidad de un dispositivo es un defecto mientras que un exploit es el agente que se aprovecha para acceder a dicho dispositivo). Puede ganar acceso de varias formas: utilizando un backdoor integrado en un software, empleando vulnerabilidades de software no conocidas, pendrives, etc. Una vez instalado se utiliza para lanzar ciber-ataques DDoS, robar datos sensibles, realizar funcionalidades de vigilancia, etc. Los gusanos son autónomos no necesitan de un fichero huésped, no necesitan adjuntarse a otro programa, pueden enviar copias de sí mismos a otros dispositivos utilizando alguna red. Algunos ejemplos de gusanos son: WannaCry Worm, Stuxnet-APT (es a la vez gusano, rootkit y virus), Morris Worm, Slammer Worm, Abra Worm, Conficker Worm, etc. Los gusanos se transportan de un dispositivo a otro transmitiendo copias de sí mismos utilizando una red que conecta los dispositivos sin necesidad de infectar ficheros. Un gusano puede saltar de un dispositivo a otro de una red utilizando diferentes medios y técnicas, como, por ejemplo: (a) “Remote Shell” (rsh, ssh, rexec, etc.). En diversos sistemas operativos, por ejemplo, Unix se pueden ejecutar comandos en un dispositivo remoto. Si el dispositivo destino puede infectarse, de esta forma, se puede instalar un pequeño programa de “bootstrap” que le permite trasladar el resto del software malicioso. El programa rsh permite entrar en otro dispositivo remoto utilizando contraseña. (b) Craqueando contraseñas y abriendo sesión (logeandose) como una entidad/usuario autorizado en un dispositivo remoto a infectar. Los craqueadores de contraseñas se aprovechan de la tendencia de las personas de mantener las contraseñas tan simples como puedan (a veces violando las políticas de contraseñas que exigen/recomiendan utilizar contraseñas (diferentes para cada dispositivo) de elevada entropía, es decir, largas que integren toda clase de caracteres (números, letras mayúsculas y minúsculas, caracteres especiales, etc.), no se encuentren en el diccionario y no sean triviales (por ejemplo, 123 es una opción pésima). (c) Aprovechándose de las vulnerabilidades (que son puntos-métodos de ciber-ataque como bugs, flaws, deficiencias, fallos, errores, debilidades, torpezas, confianzas, debug-ports, JTAG-ports, etc.), por ejemplo, de buffer-overflow en el software/programas de red. En redes se utilizan sockets. Un socket cliente inicia un enlace de comunicación con un servidor enviando una petición al socket servidor que esta constantemente escuchando dichas peticiones. Si el código del socket del servidor es vulnerable al buffer-overflow o a una corrupción de la pila, el malware puede manipular que en la ejecución de ciertas funciones del sistema del servidor le permitan al malware descargarse en el dispositivo de computación del servidor. Utilizando un bug del programa “sendmail” que se utiliza como agente de transferencia de correo por los dispositivos de una red. Utilizando un bug en el “demonio del programa finger” que genera buffer-overflow. Utilizando vulnerabilidades “race-condition” encontradas en los drivers de ciertos smartphones (CVE 2019-5216). Utilizando vulnerabilidades “VM-escape” o “sandbox-escape” que permiten al malware fugarse de una máquina virtual (VM) o de un sandbox e infectar al sistema operativo del dispositivo víctima (CVE 2008-0923). Utilizando vulnerabilidades en el software desplegado en SDN (Software Defined Network), SDP (Software Defined Perimeter), SDR (Software Defined Radio), BYOD (Bring Your Own Device, en este caso el usuario utiliza un dispositivo propio cuyo software es vulnerable para realizar operaciones de la organización-negocios-industria), etc. Utilizando vulnerabilidades en IoT como Oracle WebLogic Server, redes SD-WAN de VMWare, etc.

2) Bomba lógica. Es un tipo de funcionalidad de malware que se dispara por algún suceso interno/externo, como la llegada de una fecha y hora específica, la creación o borrado de ciertos datos específicos como un fichero, carpeta, la entrada a una base de datos, etc.
3) Backdoor o puerta trasera. Es un tipo de funcionalidad de malware (que se instala a sí mismo) que una vez que alcanza a la víctima permite al malware tener acceso todas las veces que quiera sin necesidad de utilizar los procedimientos normales de abrir sesión (login y autenticación). El dispositivo infectado puede ser accedido y controlado de forma remota. Un ejemplo de backdoor es Rustock.B.
4) Malvertising (Malicious advertising). Es un tipo de funcionalidad de malware que introduce carga maliciosa en la publicidad y anuncios online para extender otros malware. Este tipo de funcionalidad de malware busca vulnerabilidades en el navegador Web y los plugins instalados (como Flash, Acrobat Reader, spotify3, etc.). Como contramedidas utilizar bloqueadores de publicidad, actualizar sistema operativo, navegadores Web, anti-malware, habilitar solo los complementos (plugin, etc.) necesarios para el día a día y desactivarlos cuando no los necesitemos, habilitar la función “click-to-play” presente en los navegadores Web de modo que antes de ejecutar cualquier plugin debamos dar permiso para ejecutarlo. Se debe comprobar en nuestro navegador Web si tenemos activa la función click-to-play para ello ir a opciones de configuración, hacer clic en opciones avanzadas, privacidad, configuración de contenido y dentro complementos, activar la opción “hacer clic para ejecutar” que suele venir por defecto desactivada.

5) Spyware. Es un tipo de funcionalidad de malware que utiliza funciones del sistema operativo para espiar la actividad del usuario. A veces, integra capacidades adicionales como interferir con las conexiones de red para modificar las configuraciones de seguridad en el sistema infectado. El spyware recoge información sobre las actividades-comportamiento de los usuarios sin su conocimiento ni consentimiento (como contraseñas, pins, información de pagos, mensajes no estructurados, etc.) y envía dicha información oculta al ciber-atacante. Puede recoger audio y video de la víctima (creepware), sus pantallas, ficheros, etc. Un ejemplo de spyware es DarkHotel.
6) Fileless. Es un tipo de funcionalidad de malware sigilosa que no instala inicialmente nada, pero si hace cambios en ficheros nativos del sistema operativo como WMI y PowerShell. El sistema operativo reconoce los ficheros editados como legítimos de modo que el anti-malware no se entera. Un ejemplo de malware con funcionalidad fileless es Astaroth.
7) Troyano software. Es un tipo de funcionalidad de malware que se embebe y disfraza en un cierto software que aparentemente es legal y presenta un efecto útil. El efecto útil se denomina cubierta ya que es lo que aparenta ser (por ejemplo, una APP, un parche de un antivirus, una actualización, un vídeo, un juego, puede embeberse en un fichero adjunto incluido en un correo con phishing, un cifrador, un navegador, un compresor, un editor, un antivirus, etc.) pero el efecto del malware se denomina efecto encubierto y se mantiene oculto para la víctima. Una vez descargado toma el control del dispositivo de la víctima. Un ejemplo de malware con funcionalidad troyano bancario (roba datos y puede cargar otros malware se aprovecha de las contraseñas débiles) es Emotet. El malware dridex tiene una funcionalidad de troyano financiero que infecta a través de adjuntos o phishing en correos electrónicos, puede robar contraseñas, datos bancarios, datos personales, etc. El malware Triada tiene una funcionalidad de troyano de rooting inyectado en la cadena de suministro cuando se vendieron dispositivos Android con el malware pre-instalado. Otro troyano es Trickbot.
8) Virus. Es un tipo de funcionalidad de malware que se transporta de un dispositivo a otro embebiendo copias de él en ficheros huésped que por algún medio (memoria removible tipo flash-drive, CDROM, disquete, etc. por correo electrónico vía spam, phishing, incluyendo un link malicioso o un fichero adjunto infectado, etc.) se transporta(n) a la(s) víctima(s). Se inserta en un fichero o AAP/Aplicación y se lanza cuando la APP se ejecuta. Una vez dentro de una red puede utilizarse para robar información sensible, lanzar ciber-ataques DDoS, etc. El transporte lo puede iniciar un usuario humano que transporta un pen-drive o DVD que contiene un fichero infectado, enviando un fichero infectado como un adjunto en un correo, etc. Algunos ejemplos de virus son los virus de macro en ficheros del Office-MS (Word, Excel, etc.), virus de FAT, infección de scripts (en .pdf, .docx, etc.), infección de plugins en navegadores Web (Flash, Java, QuikTime Player, etc.), etc. Los virus de FAT (File Allocation Table; sección del disco duro utilizada para enlazar la información contenida en dicho disco) impiden el acceso a ciertas partes del disco donde se guardan los ficheros críticos para el funcionamiento del dispositivo de computación, son peligrosos, se mete en el disco duro y afecta al sistema. El virus Michelangelo (1991) se activaba el 6 de marzo, daña el sistema operativo DOS, funciona a nivel de BIOS, daña el disco duro cuando arranca con un disquete infectado.
9) Bacterium/rabbit. Es un tipo de funcionalidad de malware que utiliza completamente una clase concreta de recurso como, por ejemplo, el espacio de ficheros, los buffers de mensajes, los bloques de control de procesos, etc. del dispositivo de computación de la víctima, etc.

10) Rootkit. Es un tipo de funcionalidad de malware que da a los ciber-atacantes control remoto del dispositivo de la víctima con todos los privilegios de administrador. Puede inyectarse en APPs, kernel, hipervisores, firmware, etc. Se transporta utilizando phishing, ficheros adjuntos maliciosos de e.mail, descargar ficheros maliciosos, unidades removibles contaminadas como pendrives, etc. Pueden ocultar otras funcionalidades malware como por ejemplo keylogger. Emplea un conjunto de herramientas para evitar la detección en un sistema infectado. Toma el control total del sistema con los máximo privilegios posibles junto con otras actividades maliciosas factibles. Su detección es muy difícil, algunos indicios de su existencia se obtienen monitorizando el comportamiento del sistema en busca de actividades anormales, analizando los volcados de almacenamiento, escaneando la firma de ficheros del sistema, etc. Es un tipo de funcionalidad de malware utilizado para ocultar ficheros que ejecutan procesos, entradas al Registro, otros tipos de datos. Un ejemplo de funcionalidad rootkit es Zacinlo.
11) Keylogger. Es un tipo de funcionalidad de malware variedad spyware que monitoriza las actividades del usuario. Permite robar información de contraseñas, datos bancarios, etc. Puede insertarse en el dispositivo de la víctima por phishing/ingeniería social, descargas de ficheros infectados, etc. Captura y registra las claves (y todo tipo de información) introducidas por el teclado y que se pueden utilizar por parte del malware o enviarlas a terceras partes vía C&C. Una contramedida es utilizar teclados virtuales. Un ejemplo de keylogger es Olympic-Vision.
12) Bot/Botnet. Un bot es un tipo de funcionalidad de malware que infecta a dispositivos/objetos IoT. Dichos dispositivos infectados (denominados zombis o bots) forman una red (denominada botnet) controlada vía canales C&C por uno o varios botmaster en forma de entidades IA y/o personas. Los bots se utilizan como spambots, para lanzar ciber-ataques DDoS de inundación, etc. controlados de forma remota C&C. Un bot es una aplicación que realiza tareas automatizadas bajo control. Auto-propagan malware conectando con un servidor central o botmaster. La botnet IoT Mirai incluye millones de dispositivos. Echobot es una variante de Mirai para IoT.
13) Secuestrador de navegador/browser. Es un tipo de funcionalidad de malware que ciber-ataca al navegador Web, cambia las configuraciones de los navegadores, etc.
14) Ransomware-cryptolocker. Es un tipo de funcionalidad de malware que bloquea y cifra (ficheros, carpetas, particiones o todo el disco duro. Ciberataque a la disponibilidad) en el dispositivo de computación víctima y deja un mensaje exigiendo que se debe pagar un cierto rescate (por ejemplo, en criptomonedas) para que se le proporcione la clave de descifrado a la víctima (esto suele ser falso y después de pagar la clave no llega). El ransomware infecta dispositivos de computación y redes, utilizando los mismos medios de propagación que una funcionalidad malware de gusano. Como contramedida hacer copias de seguridad o backups redundantes (por tolerancia a fallos). Ejemplos de este tipo de malware son WannaCry, RobbinHood, Ryuk, Petya, etc. que además utiliza la funcionalidad de gusano. Ciberataques basados en malware con funcionalidad ransomware del tipo Ryuk se han utilizado recientemente contra el SEPE (Servicio de Empleo Público Estatal) en marzo 2021 y contra el Ministerio de Trabajo y Economía Social en junio 2021. Una variante ransomware no pide rescate.
15) Adware. El adware (advertising soportado por software) es un tipo de funcionalidad de malware que puede registrar la actividad de navegación del usuario y crea un perfil como qué amigos tiene, qué compra, donde viaja, etc. (en este caso se denomina adware malicioso), esta información la comparte o vende sin el consentimiento del usuario. El adware no malicioso (no integra código malicioso), permite visualizar automáticamente anuncios/publicidad cuando se está ejecutando y se encuentra diseñado para servir como herramienta que genera ingresos por publicidad. La herramienta ADBLocker sirve para bloquear la publicidad (adware). El adware malicioso “trojan.clicker.cm” visualiza publicidad tipo pantalla emergente (o pop-up) que engaña a los usuarios, por lo atractivo, a hacer clic, cuando hacen clic la pantalla emergente carga los sitios Web que contienen adware malicioso. Otro ejemplo de adware malicioso es Fireball.
16) Troyano hardware. Se trata de circuitos, chips, electrónica embebida, tarjetas madre maliciosas, patológicas e insidiosas autónomas o en coordinación con malware software y/o firmware. Como contramedidas utilizar tecnología PUF.
17) Funcionalidad malware oculta en el MBR (Master Boot Register). Permite cifrar o borrar datos del disco duro.
18) Dropper-inyectores. Los dropper son programas o microprogramas diseñados para lanzar-instalar algún tipo de malware (funcionalidad, módulo, semilla o la totalidad del malware) en la plataforma, dispositivo o sistema víctima. Los inyectores sólo instalan en memoria pueden ser persistentes. Por ejemplo, el malware APT Duqu utilizó como dropper documento Word MS con exploits 0-day. Los dropper-inyectores se propagan: al visitar sitios Web maliciosos, al hacer clic en un link/botón malicioso, al ejecutar un fichero adjunto de un correo electrónico, al insertar medios extraíbles como pendrives, CDs, etc. infectados, al utilizar un proxy de Internet infectado (por ejemplo, un proxy Tor infectado), al descargar software gratuito infectado, al utilizar aplicaciones/APPs aparentemente legítimas infectadas, etc.

Actualmente se están combinando múltiples funcionalidades de las especificadas anteriormente para sintetizar malware inteligente con redundancia, modular, fragmentable, actualizable, no detectable, sigiloso, multi-funcional con ciber-resiliencia capaz de poder sobrevivir incluso en ecosistemas fuertemente protegidos donde se busque y ciber-ataque de forma masiva a todo tipo de familias y variantes asintomáticas de malware. El malware Shamoon daña equipos, Zeus suplanta identidades, etc.

CLASES DE MALWARE EN BASE AL MECANISMO DE OCULTACIÓN.

Se trata de ocultar el código malware de los escaners antimalware basados en firmas y de otras técnicas como la emulación necesaria para descubrir la presencia del malware. Atendiendo al criterio el tipo de técnicas utilizada para la ocultación del malware y por tanto para impedir su detección se pueden identificar básicamente las siguientes clases de malware:
1) Malware oligomórfico o semipolimórfico (como el “virus whale”). Emplea múltiples rutinas de cifrado elegidas aleatoriamente en la infección para evitar la detección del malware basada en firmas.
2) Malware polimórfico. Al igual que el malware oligomórfico emplea rutinas de descifrado para cambiar el aspecto/forma de los códigos de ejecución para cada infección. El malware polimórfico dispone de un conjunto de motores de descifrado y utiliza motores de mutación. Los motores de mutación realizan todos los cálculos en la reorganización del código para evitar la detección por comparación con firmas. El descifrador se ejecuta una vez que el malware se copia al dispositivo de computación víctima y permite la ejecución del malware. Cuando se replica el malware, cifra el nuevo malware con una clave diferente y encierra la nueva rutina de descifrado en el código nuevo. El malware polimórfico esta, diseñado para tener un elevado número de variantes de su código, todas con la misma funcionalidad. Esto se consigue incluyendo diferentes combinaciones de instrucciones que no tienen ningún efecto neto. Por ejemplo, cada copia del malware puede incluir diferente número de: (i) Operaciones sobre registros o localizaciones de almacenamiento que el algoritmo no usa realmente. (ii) Operaciones nulas como NOP. (iii) Grupos de instrucciones neutras tales como incrementar seguida por un decremento sobre el mismo operando, desplazamiento hacia la derecha seguido por un desplazamiento hacia la izquierda o una instrucción pop seguida por una sentencia push. Otro enfoque es la transposición del código, es decir, cambiar el orden de las instrucciones (o de bloques de instrucciones) e insertar instrucciones de salto (jump) para mantener el mismo flujo de control original.
3) Malware metamórfico. Se caracteriza por cambiar el cuerpo del código malicioso en vez de su apariencia utilizando una combinación de técnicas de ofuscación. Utiliza la inserción de código muerto, la reasignación de los registros, la transposición del código, etc. con vistas a cambiar el cuerpo del código a una nueva generación, pero opera de la misma forma. De este modo, cada variación generada del malware parece diferente y por tanto la generación de la firma y la detección basada en firma es complicada. A diferencia del malware polimórfico que descifra a un único cuerpo de código constante en memoria, el malware metamórfico puede cambiar los códigos lo que hace su detección en memoria basada en escaneo más complicada. El malware metamórfico también puede insertar e intercalar su código en un programa huésped que hace que la detección del malware sea muy difícil.
4) Malware oculto bajo canales subliminares, esteganografía, side-channel y técnicas anti-forenses. Es extremadamente difícil de detectar.

INTERACCIÓN DEL MALWARE CON EL ENTORNO.

En general en todo tipo de ciberataque (por ejemplo, acceso remoto, ciber-intrusión, etc.) se utiliza malware. El malware presenta dos grandes direcciones de interacción o flujos de información-actividad: (1) Entrada (como capturador). De percepción de detección de anti-malware, de actualizaciones, de órdenes de entidades internas y externas (p.e, C&C), de sensores de apoyo, de observaciones como sniffer, de módulos-semillas de ciber-resiliencia-apoyo, de llamadas a los SOs/hipervisores, de inferencias, de eventos subliminares, etc. (2) Salida (como excretor). Genera acciones, módulos, semillas para resucitar, comunicaciones subliminares-esteganográficas, desinformación, operaciones de falsa bandera, etc.

MALWARE CONTRA CAJEROS AUTOMÁTICOS.

Los cajetos automáticos, ATM (Automated Teller Machine) o terminales de autoservicio bancario van incrementando día a día su exposición a muy diversos tipos de malware (Skimer-A, Ploutus, ATMJaDi, Lsass.exe, etc.). Existe un creciente número de familias y variantes de malware ATM con diferentes niveles de capacidades. Algunos de los objetivos de los malware ATM son: (1) El malware se aprovecha de la capa XFS (como vector de ciber-ataque) para controlar totalmente el terminal ATM. Por ejemplo, hace uso de las librerías de Kalignite (construido sobre la base de XFS) un software de la compañía Kal dedicada al software para terminales ATM. (2) Interceptar y almacenar los valores de la clave de cifrado ATM inicial y de los valores de cambio de clave siguientes. (3) Interceptar y almacenar los PIN en texto en claro o los bloques de PIN cifrados. (4) Interceptar y almacenar los códigos administrativos y contraseñas ATM. (5) Forzar el dispensador para que entregue todo o parte del dinero que existe dentro del ATM (jackpoint/dinero fuera). (6) Descifrar los bloques de PIN cifrados explotando un EPP (Encrypting Pin Pad) no seguro. (7) Interceptar y almacenar los datos de la tarjeta (todos los datos, los datos de la banda magnética y los del chip).
Algunos de los métodos de infección y formas de instalación-activación del malware ATM son: (a) Infección basada en troyanos hardware/software en la cadena de suministro. (b) Utilizando un fichero “dropper” (fichero que un malware puede utilizar para desplegar herramientas maliciosas en un sistema comprometido, por ejemplo, un fichero ejecutable falso). La ejecución del fichero “dropper” produce el fichero malware dentro del directorio del sistema comprometido vía la funcionalidad proporcionada por un API Windows. Una vez extraído el malware el “dropper” manipula el servicio “protected storage”. Este servicio se configura para re-arrancar automáticamente en caso de que casque el sistema, lo que asegura que el malware permanezca activo. (c) Utilización de un interfaz humano con dispositivo de almacenamiento USB para copiar el malware en el disco duro del terminal ATM. (d) Arrancar o autoejecutar utilizando un dispositivo USB o un disco óptico CD/DVD que instale el malware en el disco duro del terminal ATM. (e) Descargar e instalar el malware utilizando la red aprovechándose de sistemas de control ATM vulnerables que se encuentre comprometida su ciberseguridad. (f) Arrancar utilizando un dispositivo USB o un disco CD/DVD que contiene un sistema operativo y aplicación que permite controlar al terminal ATM directamente. (g) Acceder al PC Windows e instalar el malware en el disco duro del terminal ATM desde el interfaz de línea de comandos o CLI. (h) Colocar una conexión de smartphone dentro.

Después de instalar el malware (bien utilizando vulnerabilidades en la red o el acceso físico de una persona a los componentes dentro del terminal ATM que son el PC y el subsistema de comunicaciones interno). El malware ATM se puede ejecutar utilizando diferentes técnicas: (1) Introducir una secuencia específica de números en el teclado del PIN. (2) Utilizar botones y switches sobre un interfaz compuesto humano y dispositivo de almacenamiento USB. (3) Emplear una tarjeta ATM específica para disparar el malware. (4) Lanzar comandos utilizando una conexión de smartphone previamente instalada dentro del terminal ATM. Existe también malware para ciber-atacar y robar en cajeros automáticos de bitcoin o BTM (Bitcoin Teller Machine) y en otros cajeros para otros tipos de criptomonedas-criptodivisas como Monero (criptomoneda algo más difícil de trazabilidad que el Bitcoin y que se utiliza en la deep-Web/dark-Web).

CONSIDERACIONES FINALES.

El moderno malware inteligente es cada día más persistente, no detectable, potente, ciber-resiliente, modular, no se deja visibilizar, etc. Los primeros malware del tipo APT (Advanced Persistent Threats) como Stuxnet tenían un nivel de persistencia muy bajo en comparación con los actuales, esto nos crea problemas crecientes ya que cierto tiempo después de desinfectar una plataforma infectada (PCs/endpoints, servidor dispositivo móvil, nubes, IoT, red, IIoT, vehículo conectado-autónomo, IoMT, CPS, BD, ICS, etc.) el malware resurge “entre sus cenizas” incluso con nuevas funcionalidades, por supuesto mejorando su no detectabilidad, etc. El objetivo de defensa es aplicar redes unificadas de contramedidas vectoriales n-dimensionales antimalware desde bajo nivel (hardware con HSM/Hardware-Security-Modules, PUF, etc.), medio nivel (firmware con BIOS ocultos esteganográficamente, redundancia, etc.) hasta alto nivel (software donde el universo es heterogéneo y creciente APPs, BDs, IT/OT, sistemas operativos, hipervisores, ERP, CRM, SCADA, BYOD, clonación de identidades, etc.) donde se integran bloqueo de exploits, gestión de vulnerabilidades, whitelisting, blacklisting, IOCs (Indicators Of Cyberattacks), machine learning, mallado anónimo VPN (con anonimato basado en proxies, cifrado y mecanismos “kill-swich” que desconectan y cierran automáticamente la conexión si se detenta que la VPN se ha visto comprometida), IPS, WAF, etc. No puede haber una efectividad y respuesta adecuada frente a crisis ciber-epidemiológicas malware globales sin una preparación previa anticipada y en profundidad. Las frases como “se veía venir” o ¿cómo no nos hemos preparado y equipado a tiempo? Evidencian ya tarde de una necesidad de preparación a tiempo con las medidas y equipamientos convenientes. La ingeniería inversa (en el análisis de malware estático moderno requiere de las habilidades del analista) implica cargar el ejecutable a analizar en una herramienta de debugger o desensamblador (como WinDbg, Pro, etc.) y lanzar el proceso cíclicamente para que examine las instrucciones al objeto de entender lo que hace el programa, las técnicas de evasión utilizadas por el malware como el reemplazar las instrucciones pueden producir resultados ambiguos en la detección. El malware contagia e infecta sin ser detectado todo y a todos: nubes, granjas de servidores, grupos de elevada cardinalidad de dispositivos de computación, supercomputadores aislados, etc. La ciber-inmunidad basada en el contagio no es una técnica nada adecuada para reducir la extensión o ralentizar ciber-pandemias ya que el malware actual cambia-muta, añade nuevas funcionalidades más peligrosas, se oculta mejor, se propaga más rápido, etc. El malware actual no respeta a nada ni a nadie, no conoce fronteras, ni perímetros, ciber-ataca a todo software, firmware, hardware, personas, medio ambiente, infraestructuras críticas (aeropuertos, plantas de generación de energía, centrales nucleares, industrias petroquímicas, telecomunicaciones, sistemas financieros, hospitales, policía, etc.), etc. Los sistemas láser de alta potencia se están estudiando (Proyecto LLR-Laser Lightning Rod) para atraer los rayos generados en las tormentas con aparato eléctrico a pararrayos de protección en infraestructuras críticas (como aeropuertos, centrales nucleares, etc.). Estos sistemas automatizados para evitar que caigan rayos en sitios críticos basados en software si por algún mecanismo se infectan con malware podrían dirigir todos los cañones láser no a las nubes tormentosas sino a las instalaciones críticas como reactores nucleares, a los propios aviones que tratan de despegar o aterrizar, etc. con la consiguiente catástrofe. Si los cargadores de los vehículos eléctricos están infectados con malware pueden limitar la carga, bloquearla y sobrecargar el sistema. El resultado es que cuando se vaya a necesitar utilizar el vehículo se descubriría que la batería se encuentra averiada, vacía o muy poco cargada porque ha habido un malfuncionamiento o ha fallado el proceso de la carga, eso sí, avisando a la APP de nuestro móvil para que nos informe que todo está OK. Estamos en la edad de la información y ésta conecta personas, objetos, plataformas, dispositivos de computación, etc. Las previsiones según el informe de Cisco muestran que para el 2023 habrá veinte nueve mil millones de dispositivos conectados de los cuales la mitad serán conexiones “Machine-to-Machine (M2M)” buen caldo de cultivo para el malware inteligente.

REFERENCIAS.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
- Areitio, J. “Control del creciente empoderamiento del malware: identificación y exploración de los aspectos clave del malware”. Revista Conectrónica. Nº 240. Febrero 2021.
- Areitio, J. “Peligro del desconocimiento de la existencia de contaminación malware tendente a situaciones ciber-epidemiológicas globales muy graves”. Revista Conectrónica. Nº 241. Marzo-Abril 2021.
- Areitio, J. “Puntualizaciones sobre el malware, ciber-pandemias y escenarios críticos ciber-epidemiológicos. Protección contra el malware defensa anticipada”. Revista Conectrónica. Nº 242. Mayo-Junio 2021.
- Areitio, J. “Confluencias entre malware, vulnerabilidades y exploits: indicadores de infiltración, superficie-vector de infección y peligrosidad malware”. Revista Conectrónica. Nº 243. Julio 2021.
- Perlroth, N. “This is show they tell me the world ends: the cyberweapons arms race”. Bloomsbury Publishing. 2021.
- Sanders, Ch. “Intrusion Detection Honeypots: Detection through Deception”. Applied Network Defense. 2020.
- Malin, C.H., Casey, E. and Aquilina, J.M. “Malware Forensics Field Guide for Linux Systems: Digital Forensics Field Guides”. Syngress. 2014.
- Stamp, M., Alazab, M. and Shalaginov, A. “Malware Analysis Using Artificial Intelligence and Deep Learning”. Springer. 2021.
- Hassan, N.A. “Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks”. Apress. 2019.
- Sabillon, R. “Cybersecurity auditing, assurance and awareness through CSAM and CATRAM”. Igi Global. 2021.
- Matrosov, A., Rodionov, E. and Bratus, S. “Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats”. No Starch Press. 2019.
- Kumar, S. “Computer virus”. Independently published. 2021.
- Montasari, R., Jahankhani, H., Hill, R. and Parkinson, S. “Digital Forensic Investigation of Internet of Things (IoT) Devices”. Springer. 2021.

Autor: Prof. Dr. Javier Areitio Bertolín  - Director del Grupo de Investigación Redes y Sistemas.