El cibercrimen se apunta a la moda del lowcost

9 octubre, 2017
623 Visualizaciones

Las redes de las empresas están llenas de puntos débiles que facilitan a los criminales conseguir sus objetivos utilizando herramientas poco costosas. Prefieren, cada vez más, utilizar campañas de ingeniería social en lugar de ataques sofisticados.

Los analistas de Kaspersky Lab han identificado una nueva e importante tendencia en la forma en la que operan los cibercriminales más sofisticados. Es cada vez más inusual que estos actores utilicen técnicas de ataques sofisticadas o costosas, como las vulnerabilidades zero-day, encontrándose más cómodos usando campañas de ingeniería social combinadas con técnicas maliciosas. Como resultado, son capaces de lanzar campañas dañinas que son extremadamente difíciles de detectar con soluciones de seguridad para empresas.

Este cambio en cómo trabajan demuestra que, en general, la infraestructura TI de las organizaciones modernas están llenas de puntos débiles que, potencialmente, permiten a los atacantes conseguir sus objetivos cibercriminales con unas herramientas relativamente poco costosas. Microcin, una campaña maliciosa recientemente investigada por los analistas de Kaspersky Lab, es un ejemplo de ataque económico y, también, peligroso.

Todo empezó cuando la plataforma KATA (Kaspersky Anti Targeted Attack Platform) descubrió un archivo RTF sospechoso. El archivo incluía un exploit (malware que aprovecha las vulnerabilidades en un software de uso común para instalar componentes peligrosos adicionales) a una vulnerabilidad conocida y ya parcheada en Microsoft Office.

No es raro que los ciberdelincuentes habituales utilicen estos exploits de vulnerabilidades conocidas para infectar a las víctimas con un malware general y de distribución masiva, pero como se ha demostrado en investigaciones más en profundidad, este archivo RTF en concreto no pertenecía a otra gran oleada de infección, pero sí mucho más sofisticada y dirigida.

Este documento de phishing se distribuyó utilizando unos sitios orientados a un grupo de personas muy concreto: foros en los que se discutían asuntos relacionados con la obtención de viviendas subvencionadas, un privilegio disponible principalmente para empleados de organizaciones gubernamentales y militares en Rusia y en algunos países vecinos.

Cuando el exploit se dispara, el malware con una estructura modular se instala en el ordenador objetivo. La instalación del módulo se lleva a cabo mediante inyección malintencionada en iexplorer.exe, y la ejecución automática de este módulo se completa mediante el secuestro del archivo dll. Ambas técnicas son muy conocidas y utilizadas muy ampliamente.

Finalmente, cuando el módulo principal está instalado, otros módulos adicionales se descargan desde el servidor de comando y control. Al menos uno de ellos utiliza la estenografía, que es la práctica de ocultar información dentro de archivos aparentemente inofensivos, como imágenes, otra técnica malintencionada conocida para la transferencia de datos robados.

Una vez que se ha implementado toda la plataforma maliciosa, el malware busca archivos con extensiones como .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt y .rtf., que luego se envían en un archivo protegido con contraseña y transferido a los operadores del ataque. Además de utilizar conocidas técnicas de infección y movimientos laterales, al realizar la operación los atacantes usan activamente puertas traseras conocidas que ya se han visto en ataques anteriores, y también usan herramientas legítimas creadas para pruebas de penetración y que generalmente no se detectan como peligrosas por las soluciones de seguridad.

Soluciones complejas como Kaspersky Anti-Targeted Attack Platform, incluyen no sólo tecnologías de protección endpoint, sino también tecnologías que permiten el seguimiento y correlación de eventos que suceden en diferentes partes de la red de la organización, identificando así los patrones maliciosos presentes en sofisticados ataques dirigidos.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Sophos colabora con Cáritas durante la crisis del coronavirus para permitir el teletrabajo
Actualidad
7 compartido1,087 visualizaciones
Actualidad
7 compartido1,087 visualizaciones

Sophos colabora con Cáritas durante la crisis del coronavirus para permitir el teletrabajo

Aina Pou Rodríguez - 2 julio, 2020

Han donado equipos XG Firewall a Cáritas para ayudar a hacer frente a la situación provocada por el coronavirus  Sophos…

Se descubre una vulnerabilidad que congela y reinicia los dispositivos iOS
Security Breaches
15 compartido2,234 visualizaciones
Security Breaches
15 compartido2,234 visualizaciones

Se descubre una vulnerabilidad que congela y reinicia los dispositivos iOS

Mónica Gallego - 21 septiembre, 2018

Nuevo ataque basado en CSS congela y reinicia los dispositivos iOS que varían los resultados dependiendo de su sistema operativo. Esto…

Más de un tercio de las profesionales TI descarta trabajar en el sector tecnológico ante la falta de diversidad de género
Actualidad
28 compartido1,388 visualizaciones
Actualidad
28 compartido1,388 visualizaciones

Más de un tercio de las profesionales TI descarta trabajar en el sector tecnológico ante la falta de diversidad de género

Vicente Ramírez - 22 marzo, 2019

El último estudio de Kaspersky Lab, en el que participaron 5.000 profesionales TI de toda Europa, destaca las causas del…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.