Los ciberdelincuentes han encontrado el escondite perfecto para sus operaciones: los servicios en los que confías ciegamente. Investigadores de seguridad han detallado hoy el funcionamiento de NanoRemote, un malware de nueva generación que utiliza Google Drive como su infraestructura de Comando y Control (C2).
¿Cómo funciona?
Normalmente, cuando un virus infecta una computadora, intenta conectarse a un servidor del atacante (por ejemplo, malware-server.com) para recibir instrucciones. Los firewalls corporativos suelen detectar y bloquear estas conexiones extrañas.
NanoRemote cambia las reglas del juego:
- Conexión de Confianza: El malware se conecta a googleapis.com y drive.google.com.
- El “Buzón Muerto”: El atacante sube un archivo de texto con instrucciones a una carpeta de Google Drive.
- La Ejecución: El malware en tu PC lee ese archivo, ejecuta la orden (como “tomar captura de pantalla” o “robar contraseñas”) y luego sube los resultados robados al mismo Google Drive.
Para el equipo de seguridad de la empresa, esto parece tráfico normal: un empleado trabajando con documentos en la nube.
Capacidades del Malware
A pesar de su nombre “Nano” (que sugiere que es pequeño), es muy potente. NanoRemote puede:
- Robar credenciales de navegadores y billeteras de criptomonedas.
- Capturar lo que escribes (Keylogging).
- Ver tu pantalla en tiempo real.
- Descargar y ejecutar otros virus más destructivos.
La era de “Living off the Trusted Services” (LoTS)
Si has seguido las noticias de esta semana (como la de Tomiris usando Discord), notarás un patrón. Los atacantes están abandonando sus propios servidores para usar infraestructura gratuita de gigantes tecnológicos.
- ¿Por qué? Porque es gratis, tiene un tiempo de actividad del 99.9% y, lo más importante, es muy difícil de bloquear. ¿Puede tu empresa permitirse bloquear Google Drive o Discord? Probablemente no.
El desafío de la “Inspección SSL”
La única forma real de detectar NanoRemote es “abrir” los paquetes cifrados que van hacia Google.
- Inspección TLS/SSL: Los firewalls modernos deben estar configurados para desencriptar el tráfico HTTPS. Si no lo hacen, el malware viaja por un túnel seguro que el antivirus de red no puede ver.
- Análisis de Comportamiento: Si un proceso llamado svchost.exe o notepad.exe está intentando conectarse a la API de Google Drive, eso es una anomalía grave. Un bloc de notas no necesita subir archivos a la nube por sí solo.
Recomendación
Revisa tus políticas de CASB (Cloud Access Security Broker). Estas herramientas están diseñadas específicamente para distinguir entre un uso legítimo de Google Drive (un humano subiendo un PDF) y un uso malicioso (un script subiendo datos cifrados cada 5 segundos).
