Tipo de virus: malware, amenaza persistente avanzadas (APT)
El equipo de análisis e investigación global de Kaspersky ha analizado el último ataque de la amenaza de virus. La amenaza Darkhotel parece ser una combinación de spear phishing y malware peligroso diseñada para capturar datos confidenciales.
Los cibercriminales que hay detrás de Darkhotel han estado actuando durante casi una década y han atacado a miles de víctimas en todo el mundo. El 90 % de las infecciones de Darkhotel que hemos observado son en Japón, Taiwán, China, Rusia y Corea, pero también se han producido infecciones en Alemania, Estados Unidos, Indonesia, la India e Irlanda.
Esta campaña es poco habitual en el sentido de que emplea diversos grados de ataques maliciosos.
En un extremo del espectro, utilizan correos electrónicos de spear phishing para infiltrarse en bases industriales de defensa (DIB), gobiernos, ONG, grandes fabricantes de dispositivos electrónicos y periféricos, empresas farmacéuticas, proveedores de atención médica, organizaciones militares y responsables de políticas energéticas. Los ataques siguen el proceso de spear phishing habitual con implantes de Darkhotel totalmente encubiertos. El contenido del correo electrónico que se utiliza como señuelo a menudo incluye temas como la energía nuclear y las capacidades armamentísticas. En los últimos años, los correos electrónicos de spear phishing han incluido un exploit de día cero de Adobe adjunto o enlaces que redirigen a los navegadores de los objetivos a exploits de día cero de Internet Explorer. Su objetivo es robar los datos de estas organizaciones.
En el otro extremo del espectro, propagan el malware indiscriminadamente a través de sitios de uso compartido de archivos punto a punto (P2P, del inglés Peer-to-Peer) japoneses. El malware se distribuye como parte de un archivo RAR grande que afirma ofrecer contenido sexual, pero que instala un troyano backdoor o de puerta trasera que recopila datos confidenciales de la víctima.
En un enfoque que se encuentra en algún punto entre estos dos, atacan a ejecutivos desprevenidos que viajan al extranjero y se alojan en un hotel. Aquí las víctimas se infectan con un troyano raro que se hace pasar por uno de los distintos lanzamientos de software principales, como Google Toolbar, Adobe Flash y Windows Messenger. Los atacantes utilizan esta infección de primera etapa para calificar a sus víctimas y descargar otro malware en los ordenadores de las víctimas más significativas, diseñado para robar datos confidenciales del ordenador de la víctima.
Según una cadena del código malicioso, parece que la amenaza señala a un actor de amenazas coreano como fuente de origen.
A pesar de la sofisticación técnica de muchos ataques dirigidos, normalmente empiezan engañando a los empleados para que hagan algo que pone en peligro la seguridad corporativa. El personal que trabaja de cara al público (como altos ejecutivos y personal de ventas y marketing) puede ser especialmente vulnerable, sobre todo porque a menudo se desplaza y es probable que utilice redes no fiables (por ejemplo, en hoteles) para conectarse a una red corporativa.
Aunque la prevención total puede suponer todo un reto, aquí te damos algunos consejos sobre cómo mantenerse protegido cuando se está de viaje.