Los anuncios de Google impulsan el malware 'virtualizado'

Una campaña en curso de publicidad maliciosa de anuncios de Google está difundiendo instaladores de malware que aprovechan la tecnología de virtualización KoiVM para evadir la detección al instalar el ladrón de datos Formbook.

KoiVM es un complemento para el protector ConfuserEx .NET que ofusca los códigos de operación de un programa para que la máquina virtual solo los entienda. Luego, cuando se inicia, la máquina virtual vuelve a traducir los códigos de operación a su forma original para que la aplicación pueda ejecutarse.

"Los marcos de virtualización como KoiVM ofuscan los ejecutables al reemplazar el código original, como las instrucciones de lenguaje intermedio común (CIL) de NET, con código virtualizado que solo entiende el marco de virtualización", explica un nuevo informe de SentinelLabs.

"Un motor de máquina virtual ejecuta el código virtualizado traduciéndolo al código original en tiempo de ejecución".

"Cuando se le da un uso malicioso, la virtualización hace que el análisis de malware sea un desafío y también representa un intento de evadir los mecanismos de análisis estáticos".

En una campaña publicitaria de Google  detectada por Sentinel Labs , los actores de amenazas impulsan el malware de robo de información de Formbook como cargadores .NET virtualizados denominados 'MalVirt', que ayudan a distribuir la carga útil final sin activar alertas de antivirus.

Sentinel Labs comenta que, si bien la virtualización de KoiVM es popular para las herramientas de piratería y las grietas, rara vez se usa en la distribución de malware.

En cambio, la firma de seguridad cree que la nueva tendencia en su uso podría ser uno de los múltiples efectos secundarios de la desactivación de macros en Office por parte de Microsoft.

Abusar de los anuncios de búsqueda de Google

Durante el último mes, los investigadores observaron  un aumento del abuso  de los anuncios de búsqueda de Google para  distribuir varios programas maliciosos , incluidos RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys Stealer, IcedID, Raccoon Stealer y muchos más.

En la campaña en curso vista por SentinelLabs, los actores de amenazas empujan los cargadores de MalVirt en anuncios que pretenden ser para el software Blender 3D.


Las descargas que ofrecen estos sitios falsos utilizan firmas digitales no válidas que se hacen pasar por Microsoft, Acer, DigiCert, Sectigo y AVG Technologies USA.

Si bien estas firmas no válidas no engañarán a Windows para que las muestre como firmadas, los cargadores de MalVirt aún incluyen funciones para evitar la detección.

"Por ejemplo, algunas muestras parchean la función AmsiScanBuffer implementada en amsi.dll para omitir la Interfaz de exploración antimalware (AMSI) que detecta comandos maliciosos de PowerShell", explica el investigador A. Milenkoski.

"Además, en un intento de evadir los mecanismos de detección estática, algunas cadenas (como amsi.dll y AmsiScanBuffer) están codificadas en Base-64 y cifradas con AES".


Los cargadores también pueden detectar si se ejecutan en un entorno virtualizado consultando claves de registro específicas y, si lo hacen, la ejecución se detiene para evadir el análisis.

MalVirt también utiliza un controlador firmado de Microsoft Process Explorer que se carga al inicio del sistema como "TaskKill", lo que le permite modificar los procesos en ejecución para esquivar la detección.

Para evadir también la descompilación del código virtualizado, los cargadores también usan una versión modificada de KoiVM que presenta capas de ofuscación adicionales, lo que hace que su descifrado sea aún más desafiante.


SentinelLabs dice que esta implementación personalizada de KoiVM confunde los marcos de desvirtualización estándar como 'OldRod' al ofuscar su rutina a través de operaciones aritméticas en lugar de usar asignaciones sencillas.

Milenkoski dice que es posible vencer la ofuscación en estos cargadores MalVirt y restaurar el orden original de las 119 variables constantes de KoiVM.

Sin embargo, la ofuscación adicional lo dificulta y requiere un trabajo manual considerable, ya que las herramientas automatizadas existentes no pueden ayudar.

Ocultar la infraestructura

Además de todos los sistemas para evitar la detección utilizados en el cargador de malware, Formbook emplea un nuevo truco que ayuda a disfrazar su tráfico real C2 (comando y control) y sus direcciones IP.

El malware que roba información mezcla su tráfico real con varias solicitudes HTTP de "cortina de humo" cuyo contenido está encriptado y codificado para que no se destaque.

El malware se comunica con esas direcciones IP al azar, seleccionándolas de una lista codificada con dominios alojados por varias empresas.

SentinelLabs dice que en las muestras que analizó, vio a Formbook comunicándose con 17 dominios, solo uno de los cuales era el servidor C2 real, y el resto servían como meros señuelos para confundir las herramientas de monitoreo de tráfico de red.


Este es un sistema novedoso en una cepa de malware bastante antigua, lo que indica que sus operadores están interesados ​​​​en potenciarlo con nuevas funciones que lo harán mejor para mantenerse oculto de las herramientas de seguridad y los analistas.

Queda por ver si los actores de amenazas han cambiado por completo o no la distribución malspam de Formbook a los anuncios de búsqueda de Google, pero es otro ejemplo de que los usuarios deben tener mucho cuidado con los enlaces en los que hacen clic en los resultados de búsqueda.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta