Clasificación de Malware

Desde la perspectiva profesional de un Threat Hunter


Definición clave

Malware (del inglés malicious software) es cualquier tipo de software diseñado para infiltrarse, dañar, robar, espiar o explotar un sistema informático sin el consentimiento del propietario legítimo.

Aunque parezca simple, la clasificación de malware es compleja porque depende de factores como:

  • Su vector de propagación

  • Su carga útil o funcionalidad

  • El nivel de consentimiento aparente del usuario

  • El nivel de sofisticación y evasión

  • Su técnica de persistencia y control


1️⃣ CLASIFICACIÓN POR VECTOR DE EJECUCIÓN O PROPAGACIÓN

Aquí clasificamos el malware según cómo entra y se ejecuta en un sistema:

🔹 Virus

  • Se adjunta a archivos ejecutables legítimos (como .exe, .dll).

  • Necesita intervención del usuario para ejecutarse.

  • Se propaga infectando otros archivos del sistema o del host.

🧪 Ejemplo real: ILOVEYOU.exe que infectaba archivos y sobrescribía datos.


🔹 Gusano (Worm)

  • No necesita archivos host: es autónomo.

  • Se propaga automáticamente por redes, comparticiones, emails…

  • Muy usado para despliegue masivo de cargas como ransomware o botnets.

🧪 Ejemplo real: WannaCry, que explotó la vulnerabilidad EternalBlue (SMBv1).


🔹 Troyano (Trojan)

  • Se disfraza de software legítimo (juegos, parches, cracks, utilidades).

  • Suele incluir una carga oculta, como puertas traseras o keyloggers.

  • No se replica, pero permite acceso remoto o ejecución de comandos.

🧪 Ejemplo real: Emotet en sus fases iniciales (antes de evolucionar a botnet y dropper).


🔹 PUP/PUA (Programas Potencialmente No Deseados)

  • Se instalan con software deseado, mediante ingeniería social o EULAs confusos.

  • No siempre son maliciosos, pero sí intrusivos, espías o ineficientes.

  • Pueden abrir puertas a malware real (actúan como dropper o adware).

🧪 Ejemplo: barras de herramientas, optimizadores falsos, bloatware preinstalado.


🔹 Grayware

  • Término intermedio entre software legítimo y malware.

  • No es malicioso por sí mismo, pero puede comprometer la privacidad, mostrar publicidad agresiva o generar riesgo.


2️⃣ CLASIFICACIÓN POR CARGA ÚTIL (LO QUE HACE EL MALWARE)

La carga útil es la acción maliciosa que ejecuta el malware una vez está presente. Aquí tienes las categorías más relevantes:

🔸 Spyware

  • Diseñado para espiar: recopila información (teclado, historial, sesiones, cámaras…).

  • Puede transmitir datos a un servidor de C2 sin que el usuario lo sepa.

Ejemplo: Keyloggers, stealers como Redline Stealer.


🔸 RAT (Remote Access Trojan)

  • Permite control remoto total sobre el sistema infectado.

  • Utilizado para espionaje, movimiento lateral y despliegue de otras amenazas.

Ejemplo: njRAT, DarkComet, Quasar.


🔸 Rootkit

  • Malware diseñado para ocultar su presencia o la de otros archivos/procesos.

  • Manipula el kernel o utiliza técnicas de hooking y stealth avanzadas.

  • Difícil de detectar con AV convencionales.

Ejemplo: TDSS rootkit, ZeroAccess, Necurs.


🔸 Ransomware

  • Encripta archivos o bloquea acceso al sistema.

  • Solicita rescate económico (en criptomonedas) para devolver el acceso.

  • Una de las amenazas más destructivas para empresas.

Ejemplo: LockBit, Maze, Conti, Ryuk.


🔸 Botnet / Downloader / Dropper

  • Controla el sistema para integrarlo en una red zombi (botnet).

  • Descarga y ejecuta otras cargas maliciosas bajo orden del C2.

Ejemplo: Trickbot (dropper), Zeus (botnet + banking trojan).



3️⃣ VISION AVANZADA: UNIR AMBAS CLASIFICACIONES

Los expertos Threat Hunters no piensan en "virus" o "gusano" como etiquetas fijas. Analizan el malware de forma multidimensional:

  • Ejemplo: Vector -> Carga útil
  • Emotet (v2): Phishing (macro) -> Downloader, Worm, Banking Trojan
  • Trickbot: Dropper -> RAT, Credential - Stealer, Persistence
  • Ryuk: RDP + Trickbot -> Ransomware
  • RedLine Stealer: Web spoofing -> Keylogger, Data Exfiltration


🎯 ¿Cómo aplicarlo como SOC N3 / Threat Hunter?

  1. Clasifica por contexto: ¿qué carga ejecuta? ¿cómo se ejecutó? ¿cómo llegó?

  2. Relaciona con MITRE ATT&CK: busca tácticas y técnicas asociadas al malware.

  3. Aplica lógica de detección: cada malware deja huellas. Aprende sus patrones.

  4. Caza por comportamiento, no por nombre: el mismo malware puede mutar, pero el patrón de ataque revela su naturaleza.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar