Keylogger con un secreto: cómo Andariel “pone un freno a los analistas”
Astutos métodos de disfraz convierten el código simple en un rompecabezas para los expertos.
Un nuevo registrador de teclas, asociado con el grupo norcoreano Andariel, fue identificado recientemente durante un análisis en la plataforma Hybrid Analysis. También conocido como APT45, Silent Chollima u Onyx Sleet, se presume que el grupo Andariel apunta a organizaciones estadounidenses. Los especialistas realizaron un estudio sobre las capacidades de este software malicioso, incluidas sus funciones para registrar pulsaciones de teclas y movimientos del ratón.
Una de las características del registrador de teclas es el uso de código “basura” que dificulta el análisis. Este código se incorpora específicamente para complicar el trabajo de los analistas y evitar una detección rápida. El análisis mostró que el registrador de teclas instala “hooks” globales a nivel de Windows para capturar eventos de teclado y ratón.
Durante su funcionamiento, el registrador de teclas registra información sobre las teclas presionadas y las acciones del ratón, que se guarda en un archivo comprimido protegido por contraseña. El archivo se crea en una carpeta temporal, y el acceso a estos datos está protegido por contraseña. Los expertos descubrieron que el registrador de teclas también puede modificar entradas en el registro de Windows, lo que le permite permanecer activo incluso después de reiniciar el sistema.
También se detectó que el registrador de teclas intercepta y registra el contenido del portapapeles utilizando las llamadas del sistema correspondientes. Esto permite a los atacantes obtener datos que el usuario ha copiado, como contraseñas u otra información confidencial.
Además, el programa registra marcas de tiempo de los eventos, registrando la fecha y hora de cada nueva acción. Este enfoque permite recopilar una imagen más completa de las acciones del usuario en el ordenador.
El malware del grupo Andariel continúa evolucionando, demostrando cómo las amenazas graves se adaptan a los métodos de protección y análisis. La inclusión de código “basura” y métodos de evasión dificulta la tarea de los especialistas en seguridad, subrayando la necesidad de mejorar constantemente las herramientas de ciberseguridad.
Este registrador de teclas no es solo una herramienta de recopilación de datos, sino también un ejemplo de sofisticación en el disfraz, lo que complica su detección y subraya la importancia de identificar estas amenazas a tiempo.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?