Dropper, la amenaza silenciosa
Dropper es un tipo de malware que amenaza la seguridad de los equipos de tu negocio, ¿pero has oído hablar de él? Desde Protege tu Empresa os queremos explicar qué es un dropper, su funcionamiento y las pautas necesarias para evitar ser víctimas de este tipo de malware.
¿Qué es?
Un dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.
El principal propósito de los droppers es instalar otro malware en el equipo aprovechándose de las vulnerabilidades que pueda tener ese equipo, como por ejemplo, que se encuentre desactualizado o que use software que no ha sido parcheado. Los dropper también pueden llegar a realizar modificaciones en la configuración del equipo necesarias para instalar el malware que pasan desapercibidas para el software de protección.
Los dropper suelen ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.
Una vez se ejecuta el dropper en el equipo de la víctima, este se realizará en segundo plano y sin que el usuario se dé cuenta de todas las acciones maliciosas para las que esté diseñado. Una vez ha finalizado, se desinstala automáticamente eliminando cualquier rastro que haya podido dejar durante su ejecución en el equipo infectado.
Fuentes de infección
Los malware de tipo dropper se aprovechan de una serie de vulnerabilidades presentes en los equipos, así como de los despistes cometidos por los usuarios para infectar el equipo de la víctima. Entre estas fuentes destacan las siguientes:
- Cuando la víctima visita una página web infectada por los ciberdelincuentes con contenido malicioso embebido o clica sobre un supuesto vídeo que, en realidad, descarga el malware en el equipo.
- Al clicar en un enlace que simula ser legítimo, y que redirige al usuario afectado hacia contenido malicioso.
- A clicar sobre una notificación o mensaje de advertencia falso que aparece en el sistema, y que en realidad sirve para descargar el dropper en el equipo.
- Al abrir adjuntos de correos maliciosos que pueden contener malware de este tipo.
- Al usar memorias USB u otro tipo de dispositivos que el empleado haya encontrado abandonados o que se encuentren infectados con malware.
- Al descargar software desde mercados de aplicaciones no oficiales, es decir, que no han pasado los test de seguridad de las empresas responsables de dichos mercados, como Play Protect de Google o desde páginas web no oficiales.
Tipos
Hay una premisa principal respecto a los dropper y es que no hay dos que se comporten igual. Ahí radica la dificultad principal para detectarlos.
Puede ser de dos tipos:
- Persistentes: se caracteriza por realizar modificaciones en el registro del equipo infectado. Hasta que no se detectan y eliminan las modificaciones provocadas en el registro, el malware se seguirá autodescargando en el equipo.
- No persistentes: se caracterizan por ser la clase más numerosa de este tipo de malware. Aunque menos dañina que la anterior, se caracteriza por su autoeliminación cuando ha realizado su cometido.
Buenas prácticas para combatirlos
Para poder evitar esta amenaza para la seguridad del equipo y mitigar sus posibles riesgos, hay que mantener una serie de buenas prácticas que te ayudarán a evitar ser víctima de este malware:
- Mantener actualizado, tanto el software instalado, como el sistema operativo a la última versión disponible.
- Establecer listas negras de acceso a Internet para evitar que los empleados visiten páginas web de dudosa fiabilidad.
- No abrir archivos adjuntos de remitentes desconocidos sin haberlos escaneado previamente con un antivirus.
- Disponer de software de protección (antivirus, cortafuegos o herramientas antiphishing) en los dispositivos.
- Realizar copias de seguridad de forma periódica.
- Seguir una política de buenas prácticas, como pueden ser actualizaciones automáticas de software, registro de actividades, configuración proactiva del software de protección (configuración del cortafuegos, realización de escaneos automáticos, etc.), entre otros.
- Realizar labores de formación y concienciación entre los empleados para evitar que pongan en riesgo la ciberseguridad de la empresa.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.