Crean virus y roban contraseñas con esta herramienta de Microsoft

Los piratas informáticos buscan constantemente nuevas formas de que sus ataques puedan pasar desapercibidos, tanto para los usuarios como para los programas de seguridad. Y una de las mejores formas de lograrlo es aprovecharse de herramientas y programas legítimos que aparentemente son inofensivos y, por tanto, no levantan sospechas para los antivirus. Así, varios grupos de piratas informáticos han empezado a usar una conocida herramienta de código abierto, Microsoft Build Engine, para crear nuevas amenazas y nuevos virus que están poniendo en peligro nuestra seguridad.

Microsoft Build Engine, también conocida como MSBuild, es una herramienta de desarrollo de Microsoft para compilar sus propios programas, parecido a como funciona la herramienta «make» en Linux. Gracias a este programa, los desarrolladores pueden compilar sus programas en cualquier ordenador de forma automática gracias a un archivo XML, que debe ir junto al código, donde se encuentran las instrucciones sobre cómo hacerlo (compilación, empaquetado, pruebas, etc).

Como se trata de una herramienta de Microsoft, y se usa la firma de la compañía, lo normal es que los ejecutables creados con este programa pasen desapercibidos. Y, al final, los piratas informáticos terminan por aprovecharse de esto.

Un troyano roba tus datos y contraseñas

Un grupo de investigadores de seguridad ha encontrado un nuevo tipo de amenaza que está ganando una preocupante actividad en la red. Varios grupos de piratas informáticos están empezando a usar la herramienta MSBuild para distribuir amenazas y compilarlas directamente en el ordenador de las víctimas. Concretamente, lo que hacen es cargar el proceso malicioso directamente en la memoria, evitando ser detectadas por los programas de seguridad.

Concretamente, lo que compilan en los sistemas son tres payloads. Por un lado tenemos dos troyanos de acceso remoto (Remcos RAT y Quasar RAT), y por otro un módulo para robar datos (RedLine Stealer). Cuando estas amenazas se instalan en el sistema empiezan a recopilar todo tipo de información, desde las pulsaciones del teclado hasta los credenciales guardados en el PC y las posibles criptomonedas. Hasta pueden tomar capturas de pantalla para enviarlas al servidor.

Ataque MSBuild

Estas amenazas no tienen un ejecutable como tal (son malware del tipo «fileless»), por lo que los antivirus no pueden detectarlas. El archivo en cuestión que llega a nuestro ordenador es un .proj (de proyecto), y todos los antivirus de VitusTotal lo marcan como indetectable.

Cómo protegernos de este virus fileless

Los investigadores de seguridad no saben exactamente cómo está llegando esta nueva amenaza a los ordenadores de las víctimas. Puede ser a través de correo, a través de páginas de descarga falsas, e incluso mediante ingeniería social. Por lo tanto, no se sabe si son ataques masivos o dirigidos. Pero lo que está claro es que hay que tener la herramienta de compilación de Microsoft instalada y que hay que ejecutar el archivo de proyecto para que MSBuild lo compile. Por lo tanto, debe haber interacción con el PC del usuario en algún momento.

Como no hay un archivo como tal considerado el «virus«, los antivirus no pueden hacer gran cosa contra él. Es el problema de los virus del tipo «fileless«, cada vez más populares gracias a que evaden estas capas de seguridad. Por ello, cada vez es más importante no confiar nuestra seguridad al 100% al antivirus, sino tener sentido común. Y revisar de vez en cuando que los procesos abiertos son fiables usando una herramienta como Process Explorer, que nos permite analizar todos los procesos en VirusTotal de una vez.