CoreWarrior: un caballo de Troya con esteroides en el mundo Windows

Los especialistas de la empresa SonicWall detectaron una nueva actividad del malware CoreWarrior, un troyano persistente que se propaga a gran velocidad. El virus crea decenas de copias de sí mismo y se conecta a numerosas direcciones IP, creando brechas de acceso y controlando elementos de la interfaz de usuario de Windows.

CoreWarrior se propaga en forma de un archivo ejecutable empaquetado con UPX, que no puede ser desempaquetado con herramientas estándar. Al ejecutarse, el programa crea una copia de sí mismo con un nombre aleatorio y usa la línea de comandos para enviar datos al servidor mediante "curl". Con cada solicitud POST exitosa, el programa padre elimina la copia anterior y crea una nueva. En solo 10 minutos de funcionamiento, el malware puede crear y eliminar más de cien copias de sí mismo.

Durante su actividad, el programa abre puertos de escucha en los rangos 49730-49777 y 50334-50679. También se ha registrado una conexión a la dirección IP 172.67.183.40, aunque no se ha observado tráfico TCP/UDP activo en ella.

El troyano cuenta con mecanismos de protección contra el análisis. En particular, utiliza antidepuración mediante rdtsc para verificar el tiempo de ejecución, así como temporizadores de sueño aleatorios que cambian según el número de conexiones. El programa puede detectar si está funcionando en un entorno virtual comprobando la presencia de contenedores HyperV. Además, el malware es compatible con los protocolos FTP, SMTP y POP3 para la exfiltración de datos.

SonicWall ya ha lanzado firmas para proteger a los usuarios de este troyano. Pronto deberían adoptarlas otros fabricantes de software antivirus. Para prevenir posibles ataques, se recomienda a los usuarios mantener su software de protección, así como su base de firmas, actualizados.