Hoy en día, el malware está formado por muchos componentes que le permiten funcionar. Podríamos compararlo con un coche, que necesita de muchos componentes diferentes para poder circular correctamente: motor, volante, neumáticos… En el caso del malware, uno de estos componentes clave es el denominado “crypter” (cifrador), herramienta utilizada para ocultar partes maliciosas del código mediante el cifrado con el objetivo de parecer inofensivo y más difícil de leer.
Desde el punto de vista de un creador de malware, un cifrador es una herramienta importante para contrarrestar las protecciones contra el malware. Sin embargo, desde el punto de vista de un investigador, ser capaz de identificar un crypter ayuda a detectar mejor y más rápidamente el nuevo malware cuando éste tiene este componente.
Avast Threat Labs ha descubierto un crypter que ha sido ampliamente utilizado desde 2016 por algunas de las familias de malware más conocidas y prevalentes, como Ursnif, Lokibot, Zeus, AgentTesla y Smokeloader, entre otras. En los últimos tres años, Avast ha protegido del malware que utiliza este crypter a casi 400.000 usuarios en todo el mundo.
Se ha denominado a este cifrador como “OnionCrypter” porque utiliza múltiples técnicas para dificultar a los investigadores, antivirus y software de seguridad la lectura de la información que protege, ocultando la información dentro de las “capas de cebolla” de su cifrado. Es importante tener en cuenta que el nombre refleja las múltiples capas que utiliza este cifrador, y que no tiene ninguna relación con el navegador o la red TOR.
