El cibercrimen se apunta a la moda del lowcost

9 octubre, 2017
467 Visualizaciones

Las redes de las empresas están llenas de puntos débiles que facilitan a los criminales conseguir sus objetivos utilizando herramientas poco costosas. Prefieren, cada vez más, utilizar campañas de ingeniería social en lugar de ataques sofisticados.

Los analistas de Kaspersky Lab han identificado una nueva e importante tendencia en la forma en la que operan los cibercriminales más sofisticados. Es cada vez más inusual que estos actores utilicen técnicas de ataques sofisticadas o costosas, como las vulnerabilidades zero-day, encontrándose más cómodos usando campañas de ingeniería social combinadas con técnicas maliciosas. Como resultado, son capaces de lanzar campañas dañinas que son extremadamente difíciles de detectar con soluciones de seguridad para empresas.

Este cambio en cómo trabajan demuestra que, en general, la infraestructura TI de las organizaciones modernas están llenas de puntos débiles que, potencialmente, permiten a los atacantes conseguir sus objetivos cibercriminales con unas herramientas relativamente poco costosas. Microcin, una campaña maliciosa recientemente investigada por los analistas de Kaspersky Lab, es un ejemplo de ataque económico y, también, peligroso.

Todo empezó cuando la plataforma KATA (Kaspersky Anti Targeted Attack Platform) descubrió un archivo RTF sospechoso. El archivo incluía un exploit (malware que aprovecha las vulnerabilidades en un software de uso común para instalar componentes peligrosos adicionales) a una vulnerabilidad conocida y ya parcheada en Microsoft Office.

No es raro que los ciberdelincuentes habituales utilicen estos exploits de vulnerabilidades conocidas para infectar a las víctimas con un malware general y de distribución masiva, pero como se ha demostrado en investigaciones más en profundidad, este archivo RTF en concreto no pertenecía a otra gran oleada de infección, pero sí mucho más sofisticada y dirigida.

Este documento de phishing se distribuyó utilizando unos sitios orientados a un grupo de personas muy concreto: foros en los que se discutían asuntos relacionados con la obtención de viviendas subvencionadas, un privilegio disponible principalmente para empleados de organizaciones gubernamentales y militares en Rusia y en algunos países vecinos.

Cuando el exploit se dispara, el malware con una estructura modular se instala en el ordenador objetivo. La instalación del módulo se lleva a cabo mediante inyección malintencionada en iexplorer.exe, y la ejecución automática de este módulo se completa mediante el secuestro del archivo dll. Ambas técnicas son muy conocidas y utilizadas muy ampliamente.

Finalmente, cuando el módulo principal está instalado, otros módulos adicionales se descargan desde el servidor de comando y control. Al menos uno de ellos utiliza la estenografía, que es la práctica de ocultar información dentro de archivos aparentemente inofensivos, como imágenes, otra técnica malintencionada conocida para la transferencia de datos robados.

Una vez que se ha implementado toda la plataforma maliciosa, el malware busca archivos con extensiones como .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt y .rtf., que luego se envían en un archivo protegido con contraseña y transferido a los operadores del ataque. Además de utilizar conocidas técnicas de infección y movimientos laterales, al realizar la operación los atacantes usan activamente puertas traseras conocidas que ya se han visto en ataques anteriores, y también usan herramientas legítimas creadas para pruebas de penetración y que generalmente no se detectan como peligrosas por las soluciones de seguridad.

Soluciones complejas como Kaspersky Anti-Targeted Attack Platform, incluyen no sólo tecnologías de protección endpoint, sino también tecnologías que permiten el seguimiento y correlación de eventos que suceden en diferentes partes de la red de la organización, identificando así los patrones maliciosos presentes en sofisticados ataques dirigidos.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Akamai presente en la XX Jornada Internacional de Seguridad de la Información
Actualidad
12 compartido1,253 visualizaciones
Actualidad
12 compartido1,253 visualizaciones

Akamai presente en la XX Jornada Internacional de Seguridad de la Información

Vicente Ramírez - 8 mayo, 2018

La cita imprescindible del sector de la ciberseguridad y protección de datos: los expertos se reúnen en el congreso nacional…

MicroStrategy lanza tres nuevos gateways para Microsoft Azure
Soluciones Seguridad
3 compartido626 visualizaciones
Soluciones Seguridad
3 compartido626 visualizaciones

MicroStrategy lanza tres nuevos gateways para Microsoft Azure

Samuel Rodríguez - 30 mayo, 2018

MicroStrategy ha anunciado la disponibilidad de tres nuevos gateways con la versión MicroStrategy 10.11™, que permitirán a los usuarios de visualizar,…

Ventajas y riesgos del ‘pinning’ en aplicaciones móviles
Cyber Expertos
19 compartido2,347 visualizaciones
Cyber Expertos
19 compartido2,347 visualizaciones

Ventajas y riesgos del ‘pinning’ en aplicaciones móviles

Mónica Gallego - 30 julio, 2019

El ‘pinning’ es un mecanismo opcional que puede utilizarse para mejorar la seguridad de las comunicaciones que se apoyan en…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.