¿Qué es un virus polimórfico? Detección y prácticas recomendadas

¿Qué es un virus polimórfico?

Un virus polimórfico, a veces denominado como virus metamórfico, es un tipo de malware programado para mutar repetidamente su apariencia o archivos de firma mediante nuevas rutinas de cifrado. Esto hace que muchas de las herramientas de ciberseguridad tradicionales, como los antivirus o las soluciones antimalware, que se basan en la detección basada en firmas, no puedan reconocer y bloquear la amenaza.

¿Cómo funciona un virus polimórfico?

Un ataque polimórfico suele seguir este proceso:

1. El ciberdelincuente cifra el código malicioso a fin de ocultarlo para que así pueda sortear a la mayoría de herramientas de seguridad tradicionales.
2. El virus se instala en un endpoint y el archivo infectado se descarga y se descifra.
3. Una vez descargado, un motor de mutaciones crea una nueva rutina de cifrado que se adhiere al virus, haciendo que parezca ser un archivo diferente y, por lo tanto, no lo reconozcan la herramientas de seguridad; incluso aunque una versión anterior del virus ya se hubiera detectado en el equipo y añadido a una lista de bloqueo.

Mientras que los virus polimórficos pueden evolucionar en términos de nombre de archivo, tamaño o ubicación, la función, el funcionamiento y el objetivo del malware siguen siendo los mismos. Por ejemplo, un troyano que tenga propiedades polimórficas siempre funcionará como troyano, aunque cambie la firma del archivo.

Ejemplos de virus polimórficos

Los virus polimórficos aparecieron por primera vez en la década de 1990 como parte de un programa de investigación para demostrar las limitaciones de los análisis antivirus de la época. El primero de todos, un virus llamado 1260, o V2PX, debía servir como advertencia a los usuarios de Internet, aunque sin pretenderlo inspiró una oleada de actividad delictiva basada en las capacidades del virus. Durante las décadas posteriores surgieron incontables virus polimórficos, y a día de hoy casi cualquier infección de malware emplea algún tipo de polimorfismo.

Estos son algunos de los ejemplos de virus y malware polimórficos más conocidos:

1. El gusano Storm: Este gusano, que funciona como ataque multicapa, utilizaba técnicas de ingeniería social para engañar a los usuarios y que se descargaran un troyano, que infectaría el equipo y convertiría el sistema atacado en un bot. La campaña infectó a más de 1 millón de endpoints e interrumpió el servicio de Internet de cientos de miles de usuarios a la vez.
2. VirLock: Considerado el primer ejemplo de ransomware polimórfico, VirLock era un ataque de malware que se propagaba mediante aplicaciones compartidas y almacenamiento en la nube. Se comportaba como un ransomware típico, restringiendo el acceso de la víctima al endpoint y alterando los archivos hasta que se pagaba la extorsión.
3. Beebone: Este ataque de malware polimórfico avanzado tomó el control de miles de equipos de todo el mundo para formar una red de bots cuyo objetivo era interrumpir las transacciones bancarias mediante ransomware y spyware.

Aunque "virus polimórfico" es un término habitual en el mundo de la ciberseguridad, no todos los ataques polimórficos son de virus. Algunos se basan en otros tipos de malware, como troyanos, registradores de pulsaciones, bots, spyware y ransomware, solo que se han equipado con un motor de mutaciones. Técnicamente, estos ataques contienen malware polimórfico o malware metamórfico.

Cómo detectar un virus polimórfico

Los virus polimórficos, o cualquier tipo de malware que contenga técnicas polimórficas, pueden ser difíciles de detectar con los métodos de detección de amenazas tradicionales dadas sus avanzadas capacidades de mutación.

Hablando claro: los antivirus o el software antimalware buscan firmas o procedimientos, que son secuencias de código dentro del archivo. Estas herramientas no pueden reconocer la amenaza una vez vuelva a cifrarse. Esto es así incluso si otro endpoint se hubiera infectado antes en la misma red con un virus polimórfico conocido añadido a la lista de bloqueo.

Para detectar virus polimórficos, las organizaciones deben emplear herramientas de ciberseguridad avanzadas que permitan una protección frente a malware sin firmas.

La protección frente a malware sin firmas utiliza algoritmos de aprendizaje automático (ML) para determinar la probabilidad de que un archivo sea malicioso analizando todo el contexto y extrayendo las denominadas "características" de los archivos analizados. Estas son características de alto nivel que describen de forma numérica la estructura del archivo. Por ejemplo, el modelo de ML puede buscar la cantidad de aleatoriedad en varias partes del archivo, así como de imágenes, iconos, plantillas de interfaz de usuario o tablas de cadenas. La herramienta también puede diseccionar y describir el código de forma numérica para que se pueda introducir en un clasificador de aprendizaje automático.

Una de las formas más eficaces de proteger a la organización de un virus polimórfico es implementar una solución antivirus de nueva generación (NGAV) sólida que incluya protección tanto frente a amenazas conocidas como desconocidas, incluidos los ataques sin archivos y los ataques sin firmas, así como prevención ante ataques sin malware e integración con herramientas de inteligencia sobre amenazas.

Para obtener más información, lee nuestra publicación relacionada: What is NGAV? (¿Qué es un NGAV?).

Prácticas recomendadas de prevención de los virus polimórficos

Una gran parte de los ataques mediante virus polimórficos comienza comprometiendo a los usuarios. Por este motivo, es importante que todos los usuarios de Internet estén atentos a los indicadores de ataque y tengan un comportamiento responsable.

Algunos consejos habituales son:

• Instalar siempre un software antivirus de nueva generación, preferiblemente una solución de seguridad nativa de la nube y asegurarse de que se actualiza con regularidad.
• Mantener los sistemas operativos y las aplicaciones actualizados.
• Utilizar un bloqueador de ventanas emergentes o evitar hacer clic en anuncios emergentes.
• No abrir nunca archivos adjuntos de correos electrónicos no solicitados o sospechosos de remitentes sin verificar.
• No usar nunca una conexión Wi-Fi que no sea segura.
• Acceder solo a enlaces que comiencen con HTTPS.
• Actuar con cautela ante software gratuito y leer detenidamente los términos y condiciones.
• Usar un bloqueo de pantalla en tu teléfono inteligente.
• Utilizar contraseñas sólidas en todos los dispositivos.
• Habilitar la autenticación multifactor en todos los dispositivos y aplicaciones.
• Revisar cuidadosamente todos los permisos que se conceden a las aplicaciones en el momento de la instalación.
• Tener cuidado con el consentimiento de las cookies de los sitios web.

Sustituye tu solución antivirus anticuada

CrowdStrike Falcon® Prevent™ es el nuevo estándar de prevención, que proporciona una protección de primera frente a malware, exploits, intrusiones sin malware y amenazas persistentes avanzadas. Las organizaciones obtienen un nivel de visibilidad sin precedentes de los intentos de ataque en un árbol de procesos de lectura fácil que proporciona los detalles y el contexto necesarios para comprender lo que ocurre en el endpoint y cómo corregirlo de manera eficaz.

CrowdStrike Falcon® Prevent habilita una protección de vanguardia:

• El aprendizaje automático y la inteligencia artificial detectan malware y ransomware conocido y desconocido.
• Los indicadores de ataque (IOA) basados en el comportamiento evitan ataques sofisticados sin archivos y sin malware.
• El bloqueo de exploits detiene la ejecución y propagación de las amenazas a través de vulnerabilidades sin parches.
• La capacidad para detectar y poner en cuarentena al detectar escritura detiene y aísla a los archivos maliciosos cuando aparecen por primera vez en un host.
• La inteligencia sobre amenazas líder del sector está integrada en CrowdStrike Security Cloud para bloquear de manera activa la actividad maliciosa.
• La corrección mediante IOA automatizada limpia los artefactos conocidos que deja atrás una actividad maliciosa bloqueada.