Código morse en malware: ofuscando, que es gerundio

Sé que hablar de código morse y phishing puede sonar más a ciencia ficción steampunk que a realidad, pero una vez más el mundo del malware vuelve a sorprendernos. Y es que estoy segurísimo de que Samuel Morse y Alfred Vail habrían sido totalmente incapaces de imaginar, en 1841, que 180 años después de confeccionar un sistema de codificación de mensajes, éste sería empleado para intentar ocultar código malicioso en campañas de phishing.

Tal y como hemos podido ver en Reddit y confirmamos en Bleeping Computer, en los últimos días han empezado a aparecer muestras de malware en las que, como llamativa técnica de ofuscación, se ha empleado el código morse para que en una primera revisión de su código no se detecten porciones clave del mismo. Además, soluciones de seguridad que analicen el código, pero no lo que ocurre cuando se ejecuta (momento en el que el mensaje en morse es decodificado), tampoco serán capaces de detectar la amenaza y, por lo tanto, de bloquearla.

En concreto, en el ejemplo que puedes ver más abajo, la función de decodificación se inicia en la línea 8, en la línea 9 puedes ver la tabla de equivalencias que emplea la función para decodificar el mensaje, y en la línea 24 el texto en código morse que, en tiempo de ejecución, será decodificado por la función

Las muestras de malware con código morse para ofuscar determinados elementos ha sido detectadas en algunas campañas de phishing, y el código ofuscado es una llamada para descargar la carga útil. No es, por lo tanto, una técnica nueva en sí, la ofuscación lleva años siendo empleada por los ciberdelincuentes. Lo llamativo, diría que hasta original, es el empleo del código morse, algo que resulta llamativo, pero que en realidad no parece demasiado práctico.

Y es que aunque la mayoría no es capaz de interpretar un mensaje en código morse, su composición de puntos y rayas, con espacios para separar cada carácter,  hace que en un análisis automático pueda pasar desapercibido, pero que en uno visual llame poderosamente la atención. Tanto es así, que de no ser porque ha sido detectado en campañas de phishing reales, casi podría pasar más por un ejercicio teórico que por una técnica explotada en casos reales.

La parte más interesante, eso sí, es que supone una muestra muy educativa de cómo se enmascaran determinados elementos en el código del malware. En este caso, gracias al conocimiento que tenemos del código morse y su funcionamiento, resulta mucho más sencillo comprender la estructura empleada por los ciberdelincuentes para ofuscar. Y también es un recordatorio más de que las soluciones de seguridad capaces de verificar la seguridad en tiempo de ejecución.

Ejemplo de uso de código morse en malware. Imagen: Reddit

La entrada Código morse en malware: ofuscando, que es gerundio es original de MuySeguridad. Seguridad informática.