Los creadores de malware son delincuentes y sin duda ganan mucho dinero realizando su trabajo. Además, deben buscar nuevas formas de burlar a las herramientas de seguridad para así, mantener sus ingresos tan altos como siempre.
En el día de hoy he visto un script desarrollado en Javascript que utiliza criptografía "fuerte" para ocultar su código dañino. En este caso se utiliza el método Rijndael (estándar AES de cifrado desde 2001) para que todo lo que llegue al cliente lo haga en forma cifrada y el antivirus no sea capaz de identificar el código dañino. Es importante remarcar que el código fue escrito por otra persona, publicado en Internet y modificado por los creadores de malware (técnica muy común hoy en día):
Actualmente este código Javascript es detectado por algunos pocos antivirus (entre ellos ESET NOD32) como JS/TrojanDownloader.Psyme.NDI.
Este código de aproximadamente 8.000 caracteres, no es tan sencillo como el analizado al desofuscar un TrojanClicker, y si bien el método puede parecer novedoso y sumamente inteligente la verdad es que sirve de poco, ya que el mismo se puede descifrar y como resultado siempre se tendrá un script (de pocos bytes) que explota una vulnerabilidad conocida que descarga y ejecuta un malware en el equipo del usuario:
El cerebro de estas personas está ocupado todo el día en encontrar nuevas alternativas y en este caso la misma fue descargar un código desarrollado por otra persona y aplicarla a la descarga de un malware.
Estas personas ahora son delincuentes que han desperdiciando su vida intelectual a cambio de dinero y por eso se ven en la necesidad de copiar las creaciones de otros para aprovecharlas en beneficio propio, en vez de utilizarlos en buena ley.
Cristian
