El malware polimórfico ha vuelto a ponerse de moda entre los atacantes, y eso son malas noticias para nuestra seguridad.
El malware polimórfico es aquel que es capaz de modificarse a si mismo, normalmente para evitar las protecciones instaladas en el sistema, que suelen buscar coincidencias completas con su base de datos.
Aunque su código cambie, y por lo tanto también su comportamiento, su función sigue inmutable, por lo que sigue siendo igual de eficiente y sigue provocando los mismos daños en el sistema que antes.
Cómo funciona el malware polimórfico
En otras palabras, el malware polimórfico tiene unos objetivos (borrar un archivo, abrir conexiones, copiarse a si mismo), y realmente no importa cómo los consiga mientras que lo haga. Es un punto de vista muy pragmático, y muy “de programador” si se me permite decirlo, en el sentido de que el camino importa menos que el final.
Existen todo tipo de virus, troyanos y otro tipo de malware que se basa en esta idea para esquivar a los antivirus, que a su vez también tienen que evolucionar para aprender a detectar este tipo de comportamientos. Sin embargo, esto es algo cada vez más difícil, porque cada malware creado de esta manera es único para cada sistema.
Es decir, que aunque dos dispositivos acaben infectados por el mismo virus, su código será diferente. Esto puede conseguirse fácilmente con el cifrado del código; cuando ejecutamos el archivo maligno, iniciamos una función que descifra el código y permite su ejecución. Como la clave de cifrado es diferente en cada ocasión, el bloque de unos y ceros que el antivirus analiza y compara con su base de datos siempre es diferente.
El malware de moda entre los atacantes
Este concepto no es ni mucho menos algo nuevo; los primeros virus polimórficos datan de la década de los 90. Pero no es hasta ahora que realmente están revelando su verdadero potencial y que están expandiendo su influencia y sus infecciones.
Así lo revela un estudio (pdf) de los expertos de seguridad Webroot que ha sido publicado esta semana. Después de analizar miles de millones de direcciones, millones de aplicaciones y millones de registros de comportamiento, la conclusión a la que han llegado es que la cantidad de malware nuevo en el 2015 apenas llegó al 29%, un gran cambio respecto a años anteriores en los que se superaba un crecimiento del 100% sin problemas.
Esto encaja con otro dato que han liberado: en el 97% de las ocasiones, el malware fue único para cada sistema. ¿Cómo es eso posible? ¿Por qué se crea menos malware nuevo y en cambio los sistemas actuales sufren nuevos tipos de ataques constantemente?
Pues porque prácticamente todo el malware nuevo que se ha creado en los últimos meses es polimórfico. Para los desarrolladores de malware, ya no merece la pena crear una nueva versión de su código prácticamente cada día, si pueden crear un núcleo y una “cubierta” que evolucione por su cuenta en cada ordenador, smartphone y tablet infectado.
Para la industria de los antivirus y los expertos en seguridad, el malware polimórfico es un “objetivo movedizo”, que está en constante cambio y que siempre está un paso por delante, y por eso está teniendo tanto éxito entre los atacantes.
Cómo podríamos acabar con el malware polimórfico
Sin embargo, ya hay voces que indican que esto puede cambiar en el futuro próximo, y la solución sería hacer lo mismo que el enemigo: cambiar constantemente. Como ya hemos dicho, lo único fijo que tiene este malware es el objetivo; por mucho que cambie por el camino, cada virus, cada troyano polimórfico siempre acabará en el mismo final, y la clave está en aprovechar esto y cambiar de sitio las metas.
Empresas como Shape Security han planteado alternativas interesantes, como un servicio que es capaz de cambiar el código de una web para evitar que un atacante se aproveche de ciertos agujeros de seguridad.
Siempre que el resultado sea el mismo, y la web no cambie para el usuario, su funcionamiento interno puede variar para evitar que bots, malware o ataques directos se aprovechen de una estructura conocida.
Lo mismo se podría aplicar a programas o sistemas operativos, que de manera inteligente modifiquen su estructura y sus funciones, haciendo imposible crear un virus que afecte a todos los sistemas. Sin embargo, para hacer realidad un concepto semejante aún falta mucho.
Lo que es seguro es que el malware polimórfico es la sensación del momento entre los atacantes, y por eso ahora es más importante que nunca seguir las buenas prácticas que deberíamos seguir siempre: no visitar ningún sitio que no confiemos, no ejecutar nada que nos pidan y usar programas seguros.