Facebook Linkedin Twitter Instagram Youtube Telegram

Un nuevo ataque water-holing compromete sitios de organizaciones religiosas y benéficas

Los investigadores de Kaspersky han descubierto una campaña watering-hole dirigida a usuarios de Asia, activa desde mayo de 2019. Más de 10 sitios web relacionados con la religión, programas de voluntariado, organizaciones benéficas y otras áreas se vieron comprometidos para detonar selectivamente un ataque y establecer una puerta trasera en los dispositivos de los objetivos.

Un ataque watering hole es una estrategia de ataque dirigido en la que los ciberdelincuentes comprometen sitios web considerados terreno fértil para las víctimas potenciales y quedan a la espera de que el malware implantado acabe en sus equipos. Para exponerse al malware, el usuario sólo tiene que visitar un sitio web comprometido, lo que hace que este tipo de ataque sea fácil de propagar y, por tanto, más peligroso. En la campaña, denominada “Holy Water” (Agua Bendita) por los investigadores de Kaspersky, se instalaban “water-holes” en sitios web de personalidades, organismos públicos y organizaciones benéficas, entre otros. 

Este ataque waterhole se realizaba en múltiples fases utilizando un conjunto de herramientas poco sofisticadas pero creativas. Lo que resulta diferenciador es su rápida evolución desde su fecha de creación, así como la amplia gama de herramientas utilizadas. 

Al visitar uno de los sitios web afectados, un recurso previamente comprometido carga un Javascript malicioso ofuscado que recoge información sobre el visitante. Un servidor externo determina entonces si el visitante es un objetivo. Si el visitante es validado como objetivo, la segunda fase del JavaScript carga un plugin, que a su vez desencadena un ataque de descarga, mostrando un falso pop-up de actualización de Adobe Flash

Se espera entonces que el visitante sea atraído a la trampa de la actualización y descargue un paquete de instalación malicioso que establece una puerta trasera llamada «Godlike12», proporcionando así al actor de la amenaza acceso remoto completo al dispositivo infectado, permitiéndole modificar archivos, recoger datos confidenciales y registrar la actividad del ordenador, entre otras acciones. En el ataque también se ha utilizado otro backdoor, una versión modificada del backdoor de código abierto de Python llamado Stitch, que proporcionaba las clásicas funcionalidades de backdoor estableciendo una conexión directa para intercambiar datos encriptados en AES con el servidor remoto.

La falsa ventana emergente de Adobe Flash estaba vinculada a un archivo ejecutable alojado en github.com bajo la apariencia de un archivo de actualización de Flash. GitHub deshabilitó este repositorio el 14 de febrero de 2020 tras la comunicación de Kaspersky, rompiendo así la cadena de infección de la campaña. Sin embargo, el repositorio ha estado online durante más de 9 meses, y gracias al historial de GitHub, los investigadores han podido obtener una visión única de la actividad y las herramientas del atacante.

Esta campaña destaca por su bajo presupuesto y su conjunto de herramientas sin terminar de desarrollar, que ha sido modificado varias veces en pocos meses para aprovechar características interesantes como Google Drive C2. Kaspersky cree que el ataque ha sido llevado a cabo por un equipo pequeño y ágil.

“La estrategia watering-hole resulta interesante porque proporciona resultados mediante ataques dirigidos a grupos específicos. No hemos podido presenciar ningún ataque en vivo y por lo tanto no hemos podido determinar el objetivo operacional. Sin embargo, esta campaña demuestra una vez más por qué es necesario proteger activamente la privacidad online. Los riesgos para la privacidad son especialmente elevados para diversas minorías sociales, porque siempre hay agentes que están interesados en saber más sobre esos grupos», comenta Ivan Kwiatkowski, investigador principal de seguridad de Kaspersky.

Para evitar ser víctima de ataques dirigidos a organizaciones o personas, Kaspersky recomienda:

  • No actualizar ni instalar Adobe Flash Player, ya que ha dejado de tener soporte y lo más probable es que la actualización encubra algo malicioso. Si lo tiene instalado, le recomendamos que lo elimine, ya que la tecnología está obsoleta.
  • Utilice una VPN para ocultar su asociación con un grupo específico, enmascarando su dirección IP real y ocultando la ubicación real en la que se encuentra.
  • Elija una solución de seguridad probada como Kaspersky Security Cloud para una protección personal efectiva contra amenazas conocidas y desconocidas.
  • Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre amenazas y manténgase al día con las nuevas herramientas, técnicas y tácticas utilizadas por los actores de amenazas y ciberdelincuentes.
  • Para la detección a nivel endpoint, la investigación y la remediación de incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
  • Además de adoptar una protección esencial del endpoint, aplique una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.

 

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.