Análisis de malware

Análisis estático de Malware: Introducción a la arquitectura x86

La semana pasada, comenzamos con una introducción hacia el análisis estático de los códigos maliciosos, en donde repasamos algunos conceptos iniciales y muy importantes para entender de qué manera podemos investigar sin ejecutar una amenaza las acciones que realiza. En el post de hoy, vamos a continuar avanzando sobre la arquitectura x86, sus componentes principales y funciones.

Dos por uno: atacando la privacidad con dos amenazas

Durante el análisis de códigos maliciosos existen una serie de pasos que todo analista debe seguir para entender qué fue lo que pasó o de qué manera actúa un código malicioso en un sistema. Como parte de esta metodología, muchos de los análisis a los que nos debemos afrontar suelen desarrollarse en equipos de laboratorio,

Postal navideña que roba información de usuarios brasileños

Recientemente recibimos en el Laboratorio de Investigación de ESET, un código malicioso enfocado en afectar usuarios brasileños utilizando como técnica de Ingeniería Social las fiestas navideñas. A continuación les mostraremos las principales características  de esta amenaza y los cuidados importantes a tener en cuenta para no ser víctima de este tipo de campañas en épocas

Cronología de un ataque en Skype

Para todos aquellos que gocen de buena memoria, y estén atentos a la información que desde el Laboratorio de ESET publicamos en el blog, seguro se acordarán,que en mediados de Mayo, el gusano Rodpicom generó varios problemas en toda la región. En ese momento, nosotros compartimos con ustedes el minuto a minuto de las actividades de

Analizando el exploit de un archivo PDF malicioso

En la actualidad, una de las técnicas de ataque desde el lado del cliente (client side attacks) más utilizadas, es a través del envío de algún archivo PDF con un exploit para luego poder tomar control sobre el sistema. En esta instancia, a veces es necesario conocer algunas técnicas para poder analizarlos e identificarlos. Anteriormente,

Filecoder: dinero a cambio de información secuestrada

El siguiente post es una traducción de la publicación Filecoder: Holding your Data to Ransom escrita por Robert Lipovsky y disponible en We Live Security. Los troyanos que cifran la información de los usuarios e intentan extorsionar a la víctima ofreciéndoles un “rescate” (descifrador) por los datos a cambio de dinero no son nada novedoso.

Analizando la complejidad de Hesperbot

La siguiente publicación es una adaptación de los posts  “Hesperbot – Technical analysis part 1/2” y  “Hesperbot – technical analysis: part 2/2” escritos por Robert Lipovsky y publicado en We Live Security. Hesperbot como muchas otras familias de malware, tiene una arquitectura modular. A continuación presentaremos un resumen de cómo funcionan los principales módulos que componente

Introducción al análisis estático en Linux: debugging con GDB

La diversidad de códigos maliciosos ha conllevado a que los analistas deban enfocarse en diversas plataformas para realizar los análisis correspondientes. En este caso, profundizaremos sobre GDB, el debugger por defecto presente en las distintas distribuciones Linux. Anteriormente cubrimos temas referentes a herramientas para análisis dinámico de malware, en este caso profundizaremos aquello referido a

Rootkit Avatar: inserción de código malicioso en el kernel

La siguiente publicación es una traducción y adaptación del post “Avatar rootkit: the continuing saga“, escrito por Aleksandr Matrosov, Anton Cherepanov y Eugene Rodionov, y publicado en We Live Security. Hacia el principio de mayo, los investigadores de ESET publicaron información preliminar acerca del rootkit identificado bajo la firma Win32/Rootkit.Avatar (el misterioso rootkit con API, SDK

Análisis de troyano Qhost con datos encirptados (por Laboratorio de Investigación de ESET en la ORT)

A lo largo del 2012 conformamos el primer Laboratorio de Investigación externo de ESET Latinoamérica en el Instituto de Tecnología ORT. El mismo tenía como fin capacitar a los alumnos en técnicas de análisis y seguimiento de amenazas para luego realizar un proyecto de investigación con malware vigente. Fue así como los miembros del equipo comenzaron a investigar sobre amenazas

Botnets Tor: una tendencia en crecimiento

La siguiente publicación es una traducción y adaptación del post “The rise of TOR-based botnets“, escrito por Anton Cherepanov y Aleksandr Matrosov y publicado en We Live Security. Las botnets basadas en Tor no son un concepto totalmente nuevo, ya que se viene hablando de ellas desde el evento Defcon 18 (“Resilient Botnet Command and

Ofuscamiento por junk bytes en algoritmo recursive traversal

Anteriormente hablamos sobre el ofuscamiento por junk bytes en el algoritmo de barrido líneal. Este caso, explicaremos en detalle como los ciberdelincuentes ofuscan los binarios para dificultar el desensamblado utilizando el algoritmo de recursive traversal. El algoritmo de recursive traversal posee como principal fortaleza la habilidad de lidiar de forma inteligente con el flujo de