Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon ¿Qué es un dropper? (Malware)


Los droppers son un subtipo de malware que tiene la finalidad de “droppear” (del inglés dropper, que significa liberar) otro archivo ejecutable malicioso. Al igual que las amenazas del tipo troyano, categoría en la cual están incluidos los droppers, a simple vista puede verse como inofensivo, hasta que recibe la orden de descargar el malware en cuestión. Usualmente, este tipo de malware suele incluirse dentro de archivos comprimidos enviados como adjuntos en correos de phishing.



Un dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.

Los dropper suelen ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.

Vale aclarar que, como veremos más adelante en este mismo artículo, dropper no es lo mismo que downloader. Si ben son muy parecidos y ambos tienen como finalidad descargar una amenaza en el equipo de la víctima, la principal diferencia está en que el dropper no descarga la amenaza desde Internet como sí lo hace un downloader, sino que la contiene embebida dentro de sí mismo.

  • Los droppers son desarrollados con el objetivo de instalar otro malware en el equipo comprometido y en general suelen aprovecharse de distintos tipos de vulnerabilidades.
  • Por lo general, los droppers también suelen implementar una serie de comprobaciones de antidebugging y antiemulación en el equipo, las cuales que se ejecutan antes de desempaquetar el payload.

Tipos de Droppers

Dentro de este subtipo de malware se pueden clasificar los droppers según:

La persistencia en el sistema:

  • Persistente: son aquellos droppers que realizan modificaciones en el registro del equipo infectado. Los mismos no son detectados por los sistemas y no dejan rastros de las modificaciones que realizan en el registro, permitiendo que el malware se siga descargando en el equipo.
  • No persistente: son aquellos droppers que luego de descargar el payload en segundo plano se auto eliminan.

El diseño empleado:

  • Single-stage (una sola etapa): es cuando la carga maliciosa dentro del dropper tiene como único fin evadir las soluciones que escanean el equipo en busca de malware.
  • Two-stage (dos etapas): es cuando el dropper, además de evadir las soluciones antimalware, incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader.

Interacción con usuario/victima:

  • Sin interacción del usuario: son aquellos que ingresan al sistema de la víctima mediante la explotación de alguna vulnerabilidad en el sistema.
  • Con interacción del usuario: convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.

Dropper vs Downloader

Como mencionamos anteriormente, otro tipo de software malicioso que suele ser utilizado para descargar malware en un sistema es el downloader. Un downloader, como su nombre lo indica, descarga el payload desde un servidor remoto, en lugar de utilizar el método de dropper para transportar la carga útil en sí (embebido). Sin embargo, en la práctica el término dropper suele utilizarse erróneamente como sinónimo de downloader.


Fuentes de infección que utilizan los droppers

A continuación, describimos las formas más comunes que suelen utilizar los cibercriminales para introducir un dropper en el equipo de la víctima:

  • Adjuntos en correos maliciosos en formato ZIP, PDF o archivos del paquete office (Excel o Word )
  • Aplicaciones descargadas desde tiendas no oficiales o cracks de software
  • Unidades USB u otro tipo de dispositivo previamente infectado
  • Realizar clic en mensajes o notificaciones falsas
  • Sitios web que fueron previamente comprometidos con malware
Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.