CowerSnail, un virus informático desarrollado utilizando Qt

0

Los virus informáticos evolucionan. Es común encontrar excepciones que más tarde crearán tendencias. El ransomware han sido un claro ejemplo. Pero lo importante es innovar y así los ciberdelincuentes siguen reclamando el factor sorpresa. CowerSnail, la amenaza que nos preocupa y que está vinculada a SambaCry es una de las primeras amenazas programadas utilizando el Qt

Dada la proximidad de SambaCry, un troyano destinado principalmente a afectar a los sistemas Linux, y para ser más exacto, una vulnerabilidad en el protocolo Samba, no es necesario hacer memoria excesiva.

La última amenaza que han detectado y está vinculada a esto, se conoce como CowerSnail y está destinado a afectar a los usuarios de los sistemas operativos Windows. La relación entre las dos amenazas se ha conocido a posteriori, después de realizar el análisis del código. En ella han encontrado un montón de coincidencias con SambaCry, que ha hecho pensar a los expertos en seguridad que han sido los propietarios de los primeros que han utilizado el lenguaje de programación Qt para crear el segundo.

Al principio, ambas amenazas informáticas comparten el servidor de control. Ya se sabe que hoy en día, el servidor de control es esencial para controlar fácilmente todos los equipos que han sido infectados.

Como una novedad importante, el uso de la marco Qt es quizás el punto sorprendente que nos da esta amenaza. Esto trae una ventaja clara a los ciberdelincuentes y es la posibilidad de tener una amenaza multiplataforma rápida y fácilmente, sin la necesidad de incurrir en desarrollos adicionales.

El resultado final es una amenaza cuyo instalador tiene un tamaño cercano a los 3 MB.

Cómo funciona CowerSnail

Con un instalador que tiene muy poco tamaño, ¿qué podemos esperar de esta amenaza? En primer lugar, se comprueba si es posible o no comunicarse con el servidor de control. Dependiendo del resultado de esta prueba, el instalador se iniciará con algunas opciones u otras, pero todo parece indicar que la amenaza puede funcionar sin ningún problema sin despachar el servidor de control.

Otro aspecto a considerar es que lo mismo se busca en SambaCry: buscar sistemas afectados por esta vulnerabilidad en el protocolo Samba.

Una vez que se determina si hay conectividad con el servidor de control, es necesario determinar qué sistema operativo es el host. Esto es algo que ya hemos comentado: la naturaleza multiplataforma de la amenaza de TI

Funciones y no parece una amenaza definitiva

Es cierto que apareció una semana después de detectar SambaScry en Internet, sin embargo, no parece ser una amenaza definitiva. Tiene un gran número de funciones que se pueden ejecutar de forma remota. Pero los expertos indican que no parece ser un troyano totalmente funcional, y que parece más como un intento de ver el funcionamiento de una amenaza informática que hace uso del marco Qt.

Hemos indicado que hay aspectos que marcan un antes y un después. El uso de Qt para crear amenazas puede ser una ayuda a los ciberdelincuentes cuando se crean virus informáticos multiplataforma.