Amenaza de virus (APT) del malware Darkhotel

DEFINICIÓN DEL VIRUS

Tipo de virus: malware, amenaza persistente avanzadas (APT)

¿Qué es la amenaza Darkhotel?

El equipo de análisis e investigación global de Kaspersky ha analizado el último ataque de la amenaza de virus. La amenaza Darkhotel parece ser una combinación de spear phishing y malware peligroso diseñada para capturar datos confidenciales.

Los cibercriminales que hay detrás de Darkhotel han estado actuando durante casi una década y han atacado a miles de víctimas en todo el mundo. El 90 % de las infecciones de Darkhotel que hemos observado son en Japón, Taiwán, China, Rusia y Corea, pero también se han producido infecciones en Alemania, Estados Unidos, Indonesia, la India e Irlanda.

Detalles de la amenaza de virus

¿Cómo funciona la amenaza Darkhotel?

Esta campaña es poco habitual en el sentido de que emplea diversos grados de ataques maliciosos.

(1) Spear Phishing

En un extremo del espectro, utilizan correos electrónicos de spear phishing para infiltrarse en bases industriales de defensa (DIB), gobiernos, ONG, grandes fabricantes de dispositivos electrónicos y periféricos, empresas farmacéuticas, proveedores de atención médica, organizaciones militares y responsables de políticas energéticas. Los ataques siguen el proceso de spear phishing habitual con implantes de Darkhotel totalmente encubiertos. El contenido del correo electrónico que se utiliza como señuelo a menudo incluye temas como la energía nuclear y las capacidades armamentísticas. En los últimos años, los correos electrónicos de spear phishing han incluido un exploit de día cero de Adobe adjunto o enlaces que redirigen a los navegadores de los objetivos a exploits de día cero de Internet Explorer. Su objetivo es robar los datos de estas organizaciones.

(2) Distribución del malware

En el otro extremo del espectro, propagan el malware indiscriminadamente a través de sitios de uso compartido de archivos punto a punto (P2P, del inglés Peer-to-Peer) japoneses. El malware se distribuye como parte de un archivo RAR grande que afirma ofrecer contenido sexual, pero que instala un troyano backdoor o de puerta trasera que recopila datos confidenciales de la víctima.

(3) Infección

En un enfoque que se encuentra en algún punto entre estos dos, atacan a ejecutivos desprevenidos que viajan al extranjero y se alojan en un hotel. Aquí las víctimas se infectan con un troyano raro que se hace pasar por uno de los distintos lanzamientos de software principales, como Google Toolbar, Adobe Flash y Windows Messenger. Los atacantes utilizan esta infección de primera etapa para calificar a sus víctimas y descargar otro malware en los ordenadores de las víctimas más significativas, diseñado para robar datos confidenciales del ordenador de la víctima.

Según una cadena del código malicioso, parece que la amenaza señala a un actor de amenazas coreano como fuente de origen.

¿Qué importancia tiene Darkhotel?

A pesar de la sofisticación técnica de muchos ataques dirigidos, normalmente empiezan engañando a los empleados para que hagan algo que pone en peligro la seguridad corporativa. El personal que trabaja de cara al público (como altos ejecutivos y personal de ventas y marketing) puede ser especialmente vulnerable, sobre todo porque a menudo se desplaza y es probable que utilice redes no fiables (por ejemplo, en hoteles) para conectarse a una red corporativa.

Funciones de la campaña de Darkhotel

• Los ataques dirigidos se centraron en víctimas de nivel C: directores ejecutivos, vicepresidentes sénior, directores de ventas y marketing, y personal de I+D superior
• La banda utiliza tanto ataques dirigidos como operaciones de estilo botnet. Comprometen redes de hoteles y, a continuación, llevan a cabo ataques desde esas redes a determinadas víctimas relevantes. Al mismo tiempo, utilizan operaciones de estilo botnet para vigilancia masiva, para realizar otras tareas, tales como ataques de denegación de servicio distribuidos (DDoS), o para instalar herramientas de espionaje más sofisticadas en los ordenadores de las víctimas especialmente interesantes.
• Uso de exploits de día cero dirigidos a Internet Explorer y productos de Adobe.
• Uso de un keylogger de bajo nivel avanzado para robar datos confidenciales.
• Código malicioso firmado con certificados digitales robados.
• Una campaña persistente: Darkhotel lleva actuando casi una década.

¿Cómo puedo evitar un ataque Darkhotel?

Aunque la prevención total puede suponer todo un reto, aquí te damos algunos consejos sobre cómo mantenerse protegido cuando se está de viaje.

1. Si tienes previsto acceder a redes Wi-Fi públicas o incluso semipúblicas, utiliza solo túneles VPN de confianza
2. Aprende y entiende cómo funcionan los ataques de spear phishing
3. Mantén y actualiza todo el software del sistema
4. Verifica siempre los archivos ejecutables y trata a los archivos compartidos a través de redes P2P con precaución y desconfianza
5. Cuando viajes, trata de limitar las actualizaciones de software
6. Instala un software de seguridad en Internet de calidad: asegúrate de que incluye una defensa proactiva contra nuevas amenazas, en lugar de una protección antivirus básica.

Otros artículos y enlaces relacionados con las amenazas de malware

• Virus Bash Bug
• Troyano bancario Shylock (ataque del tipo "Man-in-the-Browser")
• Kaspersky Total Security