¿Qué es un dropper? (Malware) Blog elhacker.NET

Los droppers son un subtipo de malware que tiene la finalidad de “droppear” (del inglés dropper, que significa liberar) otro archivo ejecutable malicioso. Al igual que las amenazas del tipo troyano, categoría en la cual están incluidos los droppers, a simple vista puede verse como inofensivo, hasta que recibe la orden de descargar el malware en cuestión. Usualmente, este tipo de malware suele incluirse dentro de archivos comprimidos enviados como adjuntos en correos de phishing.

Un dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.

Los dropper suelen ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.

Vale aclarar que, como veremos más adelante en este mismo artículo, dropper no es lo mismo que downloader. Si ben son muy parecidos y ambos tienen como finalidad descargar una amenaza en el equipo de la víctima, la principal diferencia está en que el dropper no descarga la amenaza desde Internet como sí lo hace un downloader, sino que la contiene embebida dentro de sí mismo.

  • Los droppers son desarrollados con el objetivo de instalar otro malware en el equipo comprometido y en general suelen aprovecharse de distintos tipos de vulnerabilidades.
  • Por lo general, los droppers también suelen implementar una serie de comprobaciones de antidebugging y antiemulación en el equipo, las cuales que se ejecutan antes de desempaquetar el payload.

Tipos de Droppers

Dentro de este subtipo de malware se pueden clasificar los droppers según:

La persistencia en el sistema:

  • Persistente: son aquellos droppers que realizan modificaciones en el registro del equipo infectado. Los mismos no son detectados por los sistemas y no dejan rastros de las modificaciones que realizan en el registro, permitiendo que el malware se siga descargando en el equipo.
  • No persistente: son aquellos droppers que luego de descargar el payload en segundo plano se auto eliminan.

El diseño empleado:

  • Single-stage (una sola etapa): es cuando la carga maliciosa dentro del dropper tiene como único fin evadir las soluciones que escanean el equipo en busca de malware.
  • Two-stage (dos etapas): es cuando el dropper, además de evadir las soluciones antimalware, incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader.

Interacción con usuario/victima:

  • Sin interacción del usuario: son aquellos que ingresan al sistema de la víctima mediante la explotación de alguna vulnerabilidad en el sistema.
  • Con interacción del usuario: convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.

Dropper vs Downloader

Como mencionamos anteriormente, otro tipo de software malicioso que suele ser utilizado para descargar malware en un sistema es el downloader. Un downloader, como su nombre lo indica, descarga el payload desde un servidor remoto, en lugar de utilizar el método de dropper para transportar la carga útil en sí (embebido). Sin embargo, en la práctica el término dropper suele utilizarse erróneamente como sinónimo de downloader.

Fuentes de infección que utilizan los droppers

A continuación, describimos las formas más comunes que suelen utilizar los cibercriminales para introducir un dropper en el equipo de la víctima:

  • Adjuntos en correos maliciosos en formato ZIP, PDF o archivos del paquete office (Excel o Word )
  • Aplicaciones descargadas desde tiendas no oficiales o cracks de software
  • Unidades USB u otro tipo de dispositivo previamente infectado
  • Realizar clic en mensajes o notificaciones falsas
  • Sitios web que fueron previamente comprometidos con malware

Fuentes:

Fuente obtenida de: https://blog.elhacker.net/2021/12/que-es-un-dropper-malware-diferencias-downloader.html

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1528 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.