Un “dropper” es un tipo de software malicioso, un componente de malware cuya función principal es “dejar caer” o instalar otro malware en el sistema de la víctima, actúa como una especie de vector de entrega para otros tipos de malware, como troyanos, ransomware, spyware u otros programas maliciosos. El término “dropper” se utiliza comúnmente en el contexto de ataques de “fase de entrega”, donde el objetivo del atacante es entregar con éxito un malware específico al sistema comprometido.
El dropper puede ser utilizado para instalar cualquier tipo de malware, como troyanos, gusanos, virus… Una vez que el dropper ha entregado el malware a la máquina comprometida, el malware puede ejecutarse y realizar sus acciones maliciosas, como recopilar información confidencial, tomar el control remoto del sistema, cifrar archivos…
Funcionamiento de un dropper
El proceso típico de un dropper implica que, una vez que ya se ha infiltrado en el sistema de la víctima, descomprime y ejecuta el malware secundario en el dispositivo sin su conocimiento. El funcionamiento de un se divide en varias etapas:
- Infiltración: El dropper se introduce en el sistema. Esto puede ocurrir de varias maneras, a través de correos electrónicos de phishing, descargas de software malicioso, sitios web comprometidos o explotando vulnerabilidades de seguridad en el sistema.
- Activación: Una vez que el dropper está en el sistema, se activa. Esto puede suceder de varias formas, como cuando el usuario hace clic en un archivo adjunto malicioso, abre un enlace comprometido o ejecuta un archivo descargado. A veces, el dropper puede utilizar técnicas de ingeniería social para engañar al usuario y hacer que ejecute el archivo.
- Descompresión del malware secundario: El dropper, una vez activado, procede a descomprimir el malware secundario (el verdadero objetivo del ataque) en el sistema de la víctima.
- Ejecución del malware secundario: Una vez que el malware secundario se encuentra en el sistema de la víctima, el dropper lo ejecuta de manera sigilosa o disfrazada. Esto permite que el malware secundario realice sus acciones maliciosas, como robo de datos, cifrado de archivos, espionaje, control remoto del sistema, entre otros.
- Ocultamiento y evasión: Para evitar la detección por parte del software antivirus y otras medidas de seguridad, los droppers a menudo utilizan técnicas de ofuscación y evasión, como la encriptación de su carga útil o el uso de técnicas de evasión de análisis dinámico.
Tipos de dropper
Existen diferentes tipos de droppers en función de cómo se utilizan y de sus características específicas. Algunos de los tipos más comunes son:
- Droppers binarios: Son archivos ejecutables independientes que, una vez activados, descomprimen o descargan el malware secundario y lo ejecutan en el sistema de la víctima. Pueden estar camuflados como programas legítimos o pueden explotar vulnerabilidades en el sistema para ejecutar el malware secundario.
- Droppers de documentos: Se ocultan en documentos, como archivos de Word o PDF, y aprovechan las macros o scripts incorporados para descargar e instalar el malware secundario cuando el usuario abre el documento. Los documentos maliciosos a menudo se distribuyen a través de correos electrónicos de phishing.
- Droppers de URL: Estos no contienen directamente el malware secundario, pero en su lugar, contienen enlaces a sitios web o servidores que albergan el malware. Cuando el dropper se activa, se conecta a la URL proporcionada y descarga el malware secundario en el sistema de la víctima.
- Droppers de imágenes: Estos droppers se ocultan en imágenes y utilizan técnicas de esteganografía para esconder código malicioso. Cuando la imagen se abre o se procesa, el código malicioso se ejecuta y descarga el malware secundario.
- Droppers de archivos por lotes (batch): Estos droppers son archivos por lotes de Windows que ejecutan comandos para descomprimir, descargar o ejecutar malware secundario en el sistema de la víctima. Pueden ser entregados como archivos adjuntos o enlaces maliciosos.
- Droppers de correo electrónico: Algunos droppers se entregan a través de correos electrónicos de phishing, que pueden contener archivos adjuntos maliciosos o enlaces a sitios web que descargan el malware secundario en el sistema de la víctima cuando se hace clic en ellos.
- Droppers de exploits: Aprovechan las vulnerabilidades conocidas en el software del sistema o las aplicaciones para ejecutar código malicioso sin el conocimiento del usuario. Pueden ser entregados a través de ataques dirigidos o de oportunidad.
- Droppers basados en documentos maliciosos en línea: Los droppers pueden utilizar documentos alojados en servicios en línea, como Google Docs o OneDrive, para ocultar y ejecutar código malicioso. Cuando se accede al documento en línea, el código se ejecuta en el navegador del usuario.
Ejemplos de un dropper
Algunos ejemplos de droppers en el ámbito de la ciberseguridad:
MacDownloader
Este dropper específico se dirige a sistemas macOS. A menudo, se disfraza como una aplicación legítima y, una vez ejecutado, descarga malware adicional en el sistema.
Emotet
Emotet es un dropper que se ha utilizado ampliamente para distribuir otros tipos de malware, como troyanos bancarios y ransomware. Se ha dirigido principalmente a sistemas Windows.
Dridex
Dridex es otro ejemplo de dropper que se utiliza para entregar troyanos bancarios. Una vez que se ejecuta en un sistema, descarga e instala la carga útil maliciosa.
Downloader.ExtenBro
Este dropper se ha dirigido a navegadores web. Modifica las configuraciones del navegador y descarga extensiones maliciosas, lo que puede llevar a actividades de adware o robo de información.
ZLoader (Zeus)
ZLoader, anteriormente conocido como el troyano Zeus, es un dropper que se utiliza para instalar troyanos bancarios y recopilar información financiera confidencial.
PowerShell Script Droppers
En lugar de ser una aplicación en sí, los droppers basados en scripts de PowerShell utilizan secuencias de comandos de PowerShell para descargar y ejecutar malware en un sistema. Estos se utilizan en ataques dirigidos y son difíciles de detectar debido a la naturaleza legítima de PowerShell.
Consejos para evitar un ataque de un dropper
Algunas prácticas para evitar la amenaza de droppers y mitigar riesgos, son:
- Mantén tu sistema actualizado: Asegúrate de mantener tanto el sistema operativo como cualquier software que utilices siempre actualizados, a menudo corrigen vulnerabilidades que los ciberdelincuentes podrían explotar.
- Ten precaución con los archivos adjuntos: Nunca abras archivos adjuntos de correos electrónicos enviados por remitentes desconocidos sin escanearlos primero con un programa antivirus actualizado.
- Utiliza software de seguridad: Instala y mantén actualizado el software de protección, como antivirus, cortafuegos y herramientas antiphishing, en todos tus dispositivos.
- Realiza copias de seguridad periódicas: Hacer copias de seguridad de tus datos regularmente te ayudará a recuperar la información en caso de un ataque de malware.
- Aplica una política de buenas prácticas: Esto incluye configurar las actualizaciones automáticas de software, llevar un registro de las actividades, configurar proactivamente las funciones de seguridad (como cortafuegos) realizar análisis automáticos de seguridad…
Estas prácticas ayudarán a fortalecer la seguridad de tu sistema y reducir el riesgo de ser víctima de amenazas cibernéticas, como los droppers.