Los droppers son un subtipo de malware que tiene la finalidad de “droppear” (del inglés dropper, que significa liberar) otro archivo ejecutable malicioso. Al igual que las amenazas del tipo troyano, categoría en la cual están incluidos los droppers, a simple vista puede verse como inofensivo, hasta que recibe la orden de descargar el malware en cuestión.

Los droppers son desarrollados con el objetivo de instalar otro malware en el equipo comprometido y en general suelen aprovecharse de distintos tipos de vulnerabilidades.

Dentro de las funcionalidades de los droppers, algunos realizan modificaciones dentro de la configuración de la computadora afectada con el fin de preparar el equipo de la víctima para que sea infectado con el payload (en español, carga útil).

Vale aclarar que, como veremos más adelante en este mismo artículo, dropper no es lo mismo que downloader. Si ben son muy parecidos y ambos tienen como finalidad descargar una amenaza en el equipo de la víctima, la principal diferencia está en que el dropper no descarga la amenaza desde Internet como sí lo hace un downloader, sino que la contiene embebida dentro de sí mismo.

Por lo general, los droppers también suelen implementar una serie de comprobaciones de antidebugging y antiemulación en el equipo, las cuales que se ejecutan antes de desempaquetar el payload.

Usualmente, este tipo de malware suele incluirse dentro de archivos comprimidos enviados como adjuntos en correos de phishing. Una vez que la víctima descarga el dropper en su equipo, el mismo se ejecuta y en segundo plano realizará actividades maliciosas, como desactivar servicios para ejecutar el payload. Generalmente, luego de esta acción el dropper se auto elimina para evitar dejar rastros de cómo fue el proceso de infección.

Históricamente, el término dropper se usó para describir un archivo cuyo único propósito era introducir un código malicioso en un equipo y, a veces, los investigadores hacían referencia a esta amenaza como virus de "generación cero" o incluso virus "paciente cero". Este último término hacía referencia al campo de la medicina, en donde era utilizado por médicos y epidemiólogos cuando hablaban de enfermedades infecciosas.

Es importante tener presente que este tipo de malware surgió recién en los primeros años de la década del 2000 con el auge del Internet. Esto se debe a que en ese entonces muchos cibercriminales encontraron en los droppers una oportunidad para poder descargar módulos adicionales una vez que lograban acceder a la computadora de una víctima.

Si ya teníamos suficiente con servicios del tipo RaaS (Ransomware-as-a-Service) o el Maas (Malware-as-a-Service), durante este último año investigadores  detectaron un aumento en los servicios de DaaS (Dropper-as-a-Services).

A continuación, repasamos las principales características de los droppers, los tipos que existen, fuentes de infección, y algunos consejos para mitigar esta amenaza.

Tipos de Droppers

Dentro de este subtipo de malware se pueden clasificar los droppers según:

La persistencia en el sistema:

  • Persistente: son aquellos droppers que realizan modificaciones en el registro del equipo infectado. Los mismos no son detectados por los sistemas y no dejan rastros de las modificaciones que realizan en el registro, permitiendo que el malware se siga descargando en el equipo.
  • No persistente: son aquellos droppers que luego de descargar el payload en segundo plano se auto eliminan.

El diseño empleado:

  • Single-stage (una sola etapa): es cuando la carga maliciosa dentro del dropper tiene como único fin evadir las soluciones que escanean el equipo en busca de malware.
  • Two-stage (dos etapas): es cuando el dropper, además de evadir las soluciones antimalware, incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader.

Interacción con usuario/victima:

  • Sin interacción del usuario: son aquellos que ingresan al sistema de la víctima mediante la explotación de alguna vulnerabilidad en el sistema.
  • Con interacción del usuario: convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.

Dropper vs Downloader

Como mencionamos anteriormente, otro tipo de software malicioso que suele ser utilizado para descargar malware en un sistema es el downloader. Un downloader, como su nombre lo indica, descarga el payload desde un servidor remoto, en lugar de utilizar el método de dropper para transportar la carga útil en sí (embebido). Sin embargo, en la práctica el término dropper suele utilizarse erróneamente como sinónimo de downloader.

Fuentes de infección que utilizan los droppers

A continuación, describimos las formas más comunes que suelen utilizar los cibercriminales para introducir un dropper en el equipo de la víctima:

  • Adjuntos en correos maliciosos en formato ZIP, PDF o archivos del paquete office (Excel o Word )
  • Aplicaciones descargadas desde tiendas no oficiales o cracks de software.
  • Unidades USB u otro tipo de dispositivo previamente infectado
  • Realizar clic en mensajes o notificaciones falsas.
  • Sitios web que fueron previamente comprometidos con malware.

Recomendaciones de seguridad

Un dropper se caracteriza, entre tantas cosas, por ocultarse de manera efectiva dentro del dispositivo de la víctima, lo cual puede dificultar su detección. Además, como se mencionó anteriormente, existen droppers que realizan funcionalidades de antidebugging y antiemulación. Teniendo esto en cuenta, algunas recomendaciones generales para prevenir este tipo de malware son:

  • Mantener actualizado el sistema operativo o y los programas instalados en el equipo
  • No abrir archivos adjuntos que parezcan sospechosos.
  • Utilizar una solución anitmalware en el dispositivo y mantenerla actualizada.
  • Instalar programas que son descargados únicamente de fuentes confiables.