Los investigadores de Kaspersky han descubierto una campaña watering-hole dirigida a usuarios de Asia, activa desde mayo de 2019. Más de 10 sitios web relacionados con la religión, programas de voluntariado, organizaciones benéficas y otras áreas se vieron comprometidos para detonar selectivamente un ataque y establecer una puerta trasera en los dispositivos de los objetivos.
Los atacantes utilizaron herramientas creativas, que incluían la distribución por GitHub y código abierto.
Un ataque watering hole es una estrategia de ataque dirigido en la que los ciberdelincuentes comprometen sitios web considerados terreno fértil para las víctimas potenciales y quedan a la espera de que el malware implantado acabe en sus equipos. Para exponerse al malware, el usuario sólo tiene que visitar un sitio web comprometido, lo que hace que este tipo de ataque sea fácil de propagar y, por tanto, más peligroso. En la campaña, denominada “Holy Water” (Agua Bendita) por los investigadores de Kaspersky, se instalaban “water-holes” en sitios web de personalidades, organismos públicos y organizaciones benéficas, entre otros.
Este ataque waterhole se realizaba en múltiples fases utilizando un conjunto de herramientas poco sofisticadas pero creativas. Lo que resulta diferenciador es su rápida evolución desde su fecha de creación, así como la amplia gama de herramientas utilizadas.
Al visitar uno de los sitios web afectados, un recurso previamente comprometido carga un Javascript malicioso ofuscado que recoge información sobre el visitante. Un servidor externo determina entonces si el visitante es un objetivo. Si el visitante es validado como objetivo, la segunda fase del JavaScript carga un plugin, que a su vez desencadena un ataque de descarga, mostrando un falso pop-up de actualización de Adobe Flash.
Se espera entonces que el visitante sea atraído a la trampa de la actualización y descargue un paquete de instalación malicioso que establece una puerta trasera llamada "Godlike12", proporcionando así al actor de la amenaza acceso remoto completo al dispositivo infectado, permitiéndole modificar archivos, recoger datos confidenciales y registrar la actividad del ordenador, entre otras acciones. En el ataque también se ha utilizado otro backdoor, una versión modificada del backdoor de código abierto de Python llamado Stitch, que proporcionaba las clásicas funcionalidades de backdoor estableciendo una conexión directa para intercambiar datos encriptados en AES con el servidor remoto.
La falsa ventana emergente de Adobe Flash estaba vinculada a un archivo ejecutable alojado en github.com bajo la apariencia de un archivo de actualización de Flash. GitHub deshabilitó este repositorio el 14 de febrero de 2020 tras la comunicación de Kaspersky, rompiendo así la cadena de infección de la campaña. Sin embargo, el repositorio ha estado online durante más de 9 meses, y gracias al historial de GitHub, los investigadores han podido obtener una visión única de la actividad y las herramientas del atacante.
Esta campaña destaca por su bajo presupuesto y su conjunto de herramientas sin terminar de desarrollar, que ha sido modificado varias veces en pocos meses para aprovechar características interesantes como Google Drive C2. Kaspersky cree que el ataque ha sido llevado a cabo por un equipo pequeño y ágil.
“La estrategia watering-hole resulta interesante porque proporciona resultados mediante ataques dirigidos a grupos específicos. No hemos podido presenciar ningún ataque en vivo y por lo tanto no hemos podido determinar el objetivo operacional. Sin embargo, esta campaña demuestra una vez más por qué es necesario proteger activamente la privacidad online. Los riesgos para la privacidad son especialmente elevados para diversas minorías sociales, porque siempre hay agentes que están interesados en saber más sobre esos grupos", comenta Ivan Kwiatkowski, investigador principal de seguridad de Kaspersky.
Lea más sobre esta campaña en Securelist.
Para evitar ser víctima de ataques dirigidos a organizaciones o personas, Kaspersky recomienda:
- No actualizar ni instalar Adobe Flash Player, ya que ha dejado de tener soporte y lo más probable es que la actualización encubra algo malicioso. Si lo tiene instalado, le recomendamos que lo elimine, ya que la tecnología está obsoleta.
- Utilice una VPN para ocultar su asociación con un grupo específico, enmascarando su dirección IP real y ocultando la ubicación real en la que se encuentra.
- Elija una solución de seguridad probada como Kaspersky Security Cloud para una protección personal efectiva contra amenazas conocidas y desconocidas.
- Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre amenazas y manténgase al día con las nuevas herramientas, técnicas y tácticas utilizadas por los actores de amenazas y ciberdelincuentes.
- Para la detección a nivel endpoint, la investigación y la remediación de incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar una protección esencial del endpoint, aplique una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
Kaspersky
Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
