Los investigadores de ciberseguridad de Trend Micro han descubierto un nuevo malware que utiliza un método inusual para ocultarse de los programas antivirus.
El malware se llama UNAPIMON y aparentemente está siendo utilizado por Winnti, un actor de amenazas establecido patrocinado por el estado chino que estuvo detrás de algunos de los ataques más devastadores contra gobiernos, proveedores de hardware y software, grupos de expertos y más.
Según Trend Micro, muchas variantes de malware utilizan un método conocido como enlace API para escuchar llamadas, capturar datos confidenciales y modificar software diferente. Por lo tanto, muchas herramientas de seguridad también utilizan enlaces API para rastrear el malware.
Sencillez y originalidad.
«Con UNAPIMON las cosas son diferentes. Utiliza microsoft Desvíos para conectar la función API CreateProcessW, que le permite desenganchar funciones API críticas en procesos secundarios. Como resultado, evade con éxito la detección antivirus.
Una característica única y notable de este malware es su simplicidad y originalidad», dijo Trend Micro en su informe. «Su uso de tecnologías existentes, como Microsoft Detours, muestra que cualquier biblioteca simple y disponible en el mercado puede usarse de manera maliciosa si usado creativamente. Esto también mostró la destreza en codificación y la creatividad del autor del malware».
«En situaciones típicas, es el malware el que engancha. Sin embargo, en este caso es todo lo contrario».
El uso de Microsoft Detours en este sentido también tiene otros beneficios, explicaron los investigadores. Como se trata de una herramienta de depuración legítima, incluso evade la detección de comportamiento.
En su redacción, pitidocomputadora describió a los piratas informáticos de Winnti como «conocidos por sus novedosos métodos para evadir la detección cuando realizan ataques».
En 2020, se descubrió que el grupo abusaba de los procesadores de impresión de Windows para ocultar un malware y persistir en la red de destino. Dos años más tarde, rompieron una baliza Cobalt Strike en más de cien pedazos y solo la reconstruyeron cuando necesitaban usarla.