{"id":22296,"date":"2020-04-01T14:45:29","date_gmt":"2020-04-01T12:45:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22296"},"modified":"2020-04-01T14:45:29","modified_gmt":"2020-04-01T12:45:29","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/","title":{"rendered":"La APT Holy Water: los peligros del agua bendita"},"content":{"rendered":"

A finales del 2019, nuestros expertos utilizaron la t\u00e9cnica de abrevadero<\/a> para descubrir un ataque dirigido. Sin desplegar ning\u00fan truco sofisticado ni explotar ninguna vulnerabilidad, los atacantes infectaron los dispositivos de los usuarios en Asia durante un per\u00edodo de al menos ocho meses. Bas\u00e1ndose en el tema de los sitios web utilizados para difundir el malware<\/em>, el ataque fue bautizado como Holy Water, agua bendita en espa\u00f1ol. Este es el segundo ataque que hemos descubierto con tales t\u00e1cticas en los \u00faltimos meses (visita esta publicaci\u00f3n<\/a> para conocer el otro hallazgo de nuestros investigadores).<\/p>\n

\u00bfC\u00f3mo infectaba Holy Water los dispositivos de los usuarios?<\/h2>\n

Parece que los atacantes consegu\u00edan comprometer en alg\u00fan momento un servidor que aloja p\u00e1ginas web que pertenecen principalmente a figuras religiosas, organizaciones p\u00fablicas y organizaciones ben\u00e9ficas. Los ciberdelincuentes incorporaban scripts<\/em> maliciosos en el c\u00f3digo de estas p\u00e1ginas, que luego se utilizaban para llevar a cabo los ataques.<\/p>\n

Cuando los usuarios visitaban una p\u00e1gina infectada, los scripts<\/em> utilizaban herramientas leg\u00edtimas para recopilar datos sobre ellos y enviarlos a un servidor de terceros para su validaci\u00f3n. No sabemos c\u00f3mo se seleccionaban las v\u00edctimas, pero s\u00ed que ten\u00edan en cuenta la informaci\u00f3n recibida: si el objetivo era prometedor, el servidor enviaba un comando para continuar con el ataque.<\/p>\n

El siguiente paso implicaba un truco ahora est\u00e1ndar (en uso durante m\u00e1s de una d\u00e9cada): solicitaban al usuario que actualizara Adobe Flash Player, supuestamente desactualizado, lo que pod\u00eda suponer un riesgo para su seguridad. Si la v\u00edctima consent\u00eda, entonces, en lugar de la actualizaci\u00f3n prometida, la puerta trasera Godlike12 se descargaba e instalaba en el ordenador.<\/p>\n

Los peligros de Godlike12<\/h2>\n

Los cerebros del ataque hac\u00edan uso activo de servicios leg\u00edtimos, tanto para identificar a las v\u00edctimas como para almacenar el c\u00f3digo malicioso (la puerta trasera estaba citada en GitHub). Se comunicaban con los servidores de mando y control a trav\u00e9s de Google Drive.<\/p>\n

La puerta trasera colocaba un identificador en el almacenamiento de Google Drive y realizaba llamadas de forma regular para comprobar los comandos de los atacantes. Los resultados de la ejecuci\u00f3n de dichos comandos tambi\u00e9n se cargaban all\u00ed. Seg\u00fan nuestros expertos, el prop\u00f3sito del ataque era el reconocimiento y la recopilaci\u00f3n de informaci\u00f3n de dispositivos comprometidos.<\/p>\n

Si te interesa la informaci\u00f3n m\u00e1s t\u00e9cnica y las herramientas empleadas, no te quedes sin visitar la publicaci\u00f3n de Securelist sobre Holy Water<\/a>, que tambi\u00e9n recopila los indicadores de compromiso.<\/p>\n

C\u00f3mo protegerte contra Holy Water<\/h2>\n

Hasta ahora, hemos visto a Holy Water solo en Asia. No obstante, las herramientas utilizadas en la campa\u00f1a son bastante simples y pueden acabar implement\u00e1ndose en otros lugares f\u00e1cilmente. Por lo tanto, recomendamos que todos los usuarios se tomen estas recomendaciones en serio, sea cual sea su ubicaci\u00f3n.<\/p>\n

No podemos confirmar que el ataque est\u00e9 dirigido contra ciertas personas u organizaciones. Pero una cosa es cierta: cualquiera puede visitar los sitios infectados desde dispositivos dom\u00e9sticos y laborales. Por lo tanto, nuestro consejo principal es que protejas cualquier dispositivo con acceso a Internet. Nosotros ofrecemos soluciones de seguridad tanto para ordenadores personales<\/a>, como para corporativos<\/a>. Nuestros productos detectan y bloquean todas las herramientas y t\u00e9cnicas que utilizan los creadores de Holy Water.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los atacantes est\u00e1n infectando los ordenadores de los usuarios con una puerta trasera que se hace pasar por una actualizaci\u00f3n de Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":22298,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3083,368,3084],"class_list":{"0":"post-22296","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-abrevadero","11":"tag-apt","12":"tag-ataque-dirigido"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=22296"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22296\/revisions"}],"predecessor-version":[{"id":22300,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22296\/revisions\/22300"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/22298"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=22296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=22296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=22296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}