Identifican importantes ataques dirigidos contra la plataforma Cloud de Google

1 febrero, 2019
18 Compartido 2,492 Visualizaciones

Los correos electrónicos tienen contenido legítimo y el malware es transportado por fuentes reales. La compañía recomienda seguir una serie de pautas para evitar estos ataques en la nube.

 

 

Netskope, compañía experta en soluciones de Seguridad Cloud, ha identificado a través de Netskope Threat Research Labs, varios ataques dirigidos contra 42 entornos de clientes, principalmente en el sector bancario y financiero.

Los atacantes responsables emplearon la plataforma de computación Cloud de Google (GCP) App Engine para distribuir malware a través de archivos PDFs utilizados como señuelo. Tras una investigación, Netskope puede confirmar la evidencia de estos ataques contra gobiernos y empresas financieras en todo el mundo. De hecho, es probable que varios de estos señuelos estuvieran relacionados con el desgraciadamente célebre grupo de ciberdelincuentes Cobalt Strike.

“Los ataques se realizaron por medio de PDFs que actuaban como señuelo, redireccionando el tráfico de la URL de GCP a otra URL falsa, donde se alojaba una carga útil maligna. Este ataque dirigido es más efectivo que los ataques tradicionales porque la URL del host apunta hacia la URL que aloja el malware, vía Google App Engine, consiguiendo que la víctima crea que el archivo se está entregando desde una fuente de confianza como Google”, expresa Ashwin Vamshi, Security Researcher de Netskope. “Gracias a las capacidades de protección avanzada contra amenazas de Netskope pudimos detectar el señuelo objetivo que identificamos como PDF_Phish.Gen y actuar en consecuencia”.

Nada es lo que parece

Los documentos PDF utilizados como señuelo tradicionalmente llegan como archivos adjuntos de correo electrónico a las víctimas. Los correos electrónicos están diseñados para contener contenido legítimo y entregar el malware de fuentes incluidas en la lista blanca. A menudo, dichos archivos adjuntos se guardan en servicios de almacenamiento en la nube, como Google Drive.

Compartir estos documentos con otros usuarios puede dar lugar a la aparición de un vector de propagación secundario como el efecto abanico de CloudPhishing. En este caso, el archivo de correo electrónico que contiene el documento de señuelo fue detectado por Netskope y se evitó el potencial despliegue.

Efectivamente, solo la protección avanzada contra amenazas de Netskope, diseñada para cloud y con capacidades de remediación y detección, ofrece a los clientes una plataforma capaz de comprender y responder ante tales ataques, evitando que se propaguen en los entornos cloud.

Respaldado por el equipo de Netskope Threat Research Labs, quienes continuarán supervisando los desarrollos del grupo Cobalt Strike, Netskope proporciona múltiples capas de detección de amenazas, incluyendo inspección antivirus estática y dinámica, detección de anomalías en el comportamiento de los usuarios, análisis heurístico, análisis de sandbox y motor de inteligencia artificial.

Principales recomendaciones

Además de una buena estrategia de seguridad, Netskope recomienda los siguientes puntos para combatir las campañas de phishing basadas en la nube:

  • Comprobar el dominio del enlace. Este conocimiento permitirá diferenciar entre sitios de phishing/malware bien elaborados y sitios oficiales.
  • Implementar una solución de visibilidad y control en tiempo real para supervisar las actividades de las cuentas en la nube permitidas y no permitidas.
  • Integrar una herramienta de detección de amenazas y malware para IaaS, SaaS, PaaS y Web con detección y corrección de amenazas en tiempo real de múltiples capas para evitar que una organización propague sin saberlo amenazas similares.
  • Realizar un seguimiento activo del uso de aplicaciones cloud no autorizadas y aplicar políticas de DLP para controlar los archivos y datos que entran y salen del entorno corporativo.
  • Advertir a los usuarios sobre la apertura de archivos adjuntos no confiables, independientemente de sus extensiones o nombres de archivo.
  • Recomendar a los usuarios que eviten ejecutar cualquier archivo a menos que estén muy seguros de que son benignos.
  • Desmarcar la opción «Recordar esta acción para este sitio para todos los documentos PDF», incluso aunque el sitio parezca legítimo.
  • Pasar el ratón por encima de todos los hipervínculos para confirmarlos antes de hacer clic en el enlace.
  • Realizar un seguimiento activo de los enlaces URL añadidos a la lista «Siempre permitido» en el software del lector de PDF.
  • Mantener actualizados los sistemas y el antivirus con las últimas versiones y parches.

Te podría interesar

El sistema de autenticación biométrica de Fujitsu Palm Secure ha superado el millón de unidades
Soluciones Seguridad
13 compartido2,184 visualizaciones
Soluciones Seguridad
13 compartido2,184 visualizaciones

El sistema de autenticación biométrica de Fujitsu Palm Secure ha superado el millón de unidades

Mónica Gallego - 21 junio, 2018

Fujitsu Limited y Fujitsu Frontech Limited han anunciado que las ventas acumuladas de su sistema Palm Secure, basado en sensores de autenticación de…

Trend Micro ayuda a hacer frente al riesgo en origen en los dispositivos IoT
Actualidad
33 compartido1,580 visualizaciones
Actualidad
33 compartido1,580 visualizaciones

Trend Micro ayuda a hacer frente al riesgo en origen en los dispositivos IoT

José Luis - 28 agosto, 2018

La experiencia de ZDI en la detección de vulnerabilidades ofrece la oportunidad de combatir los fallos de los dispositivos conectados. …

Los jóvenes son las víctimas perfectas para los ciberdelincuentes
Cases Studies
18 compartido1,989 visualizaciones
Cases Studies
18 compartido1,989 visualizaciones

Los jóvenes son las víctimas perfectas para los ciberdelincuentes

Mónica Gallego - 26 noviembre, 2018

La ciberseguridad es algo que le importa poco a los más jóvenes. No nos referimos a que les interese o…

Deje un comentario

Su email no será publicado