Científicos de la Universidad Politécnica Nacional de Investigación de Perm (PNIPU) han desarrollado un nuevo algoritmo para detectar stealers basado en el sistema YARA. Su método analiza el comportamiento de los virus, identificando firmas y acciones características, como el disfrazarse de procesos legítimos o intentar ocultar su actividad. YARA es un conjunto de instrucciones (códigos) que ayudan a detectar software malicioso. Las instrucciones se basan en patrones únicos que cada especialista puede crear individualmente para sus tareas.
Nuestro método analiza el comportamiento del virus: qué procesos inicia, con qué archivos interactúa, si intenta utilizar alguna técnica para ocultar su trabajo, etc. Este enfoque permite comprender el comportamiento característico del stealer, incluso si su código ha sido modificado o enmascarado. Además, el método de los científicos presta atención a las firmas, que son una especie de "huella dactilar" del programa malicioso, es decir, una secuencia única de bytes o cadenas.
Las pruebas de la tecnología mostraron un 93% de precisión al escanear 192 archivos, incluyendo 94 infectados. El desarrollo puede integrarse en sistemas antivirus y plataformas de monitoreo, permitiendo una rápida adaptación a nuevas amenazas.
Los stealers, como Lumma Stealer, a menudo se distribuyen a través de sitios falsos de conversión de archivos (por ejemplo, de PDF a Word), correos electrónicos de phishing y sitios de robo. Representan una amenaza tanto para usuarios privados como para empresas, ya que los datos robados pueden utilizarse para fraude o ataques dirigidos.
En 2024, la cantidad de ciberamenazas relacionadas con el robo de datos confidenciales aumentó drásticamente. Según el antivirus Dr.Web, el número de programas maliciosos únicos aumentó en un 51,22%, y el volumen total de amenazas en un 26,20%.
Lea más materiales sobre el tema: