Software malicioso TEARDROP
El malware TEARDROP se identifica como un Trojan Dropper básico, que fue utilizado por los ciberdelincuentes detrás del reciente ataque a la cadena de suministro vinculado al proveedor de software SolarWinds. Esta campaña implicó el uso de una gran cantidad de familias de malware complejas, que sirvieron para una amplia gama de propósitos específicos: el malware TEARDROP, en particular, se enfoca en implementar una carga útil incorporada mientras gana persistencia y permanece lo más silencioso posible.
La pieza de malware que se usó comúnmente en combinación con el malware TEARDROP durante esta campaña es una copia descifrada de Cobalt Strike BEACON, un juego de herramientas de prueba de penetración legítimo. Sin embargo, los ciberdelincuentes malvados lo utilizan con regularidad y no tienen la intención de utilizarlo para ayudar a descubrir y corregir vulnerabilidades. Otra especialidad del TEARDROP Malware es su capacidad para operar a través de la memoria de la computadora, dejando por lo tanto una huella mínima en el disco duro. El único archivo que almacena en las máquinas infectadas es una imagen JPG modificada de forma malintencionada, que puede tener nombres aleatorios como gracious_truth o festive_computer. TEARDROP Malware lee este archivo a intervalos regulares para obtener datos de configuración.
El malware que opera en modo sin archivos tiende a ser más difícil de detectar por el software antivirus al principio, pero puede estar seguro de que amenazas como el malware TEARDROP son fácilmente detectables con el uso de software antivirus contemporáneo. El ataque contra la empresa SolarWinds es una prueba de que los piratas informáticos pueden hacer todo lo posible para aprovechar los nuevos trucos de propagación de malware. También sirve como prueba de que un archivo malicioso puede provenir de fuentes legítimas; nunca debe bajar la guardia cuando navega por la Web, y debe mantener su sistema protegido por un software antivirus confiable en todo momento.