Los investigadores descubren poco sofisticado, pero creativo …


La campaña de Holy Water está dirigida a usuarios de un grupo religioso y étnico específico en Asia, dice Kaspersky.

Una nueva campaña de distribución de malware dirigida a usuarios en países asiáticos es el último recordatorio de por qué los ataques no siempre tienen que ser sofisticados para ser efectivos.

La campaña implica el uso de sitios internet de abrevaderos para colocar malware en sistemas pertenecientes a miembros de un determinado grupo religioso y étnico asiático. Los abrevaderos se han establecido en más de 10 sitios web pertenecientes a individuos, programas voluntarios, organizaciones benéficas y otras organizaciones relacionadas con el grupo religioso objetivo. Todo lo que los usuarios deben hacer para descargar el malware en sus sistemas es simplemente visitar los sitios world wide web comprometidos.

Los investigadores de Kaspersky vieron por primera vez la campaña en diciembre pasado y la llamaron «Agua bendita». En un aviso esta semana, el proveedor de seguridad describió la campaña como continua e involucraba el uso de un conjunto de herramientas poco sofisticado pero creativo que incluye código fuente abierto, distribución de GitHub y el uso del lenguaje Go y comandos de Google y canales de comunicación basados ​​en Google Travel.

Según Kaspersky, cuando un visitante aterriza en uno de los pozos de agua, un componente ya comprometido carga un JavaScript malicioso que recolecta información sobre el sistema del visitante y lo envía a un servidor externo controlado por el atacante. El servidor externo examina la información del sistema para determinar si el usuario es de interés potencial.

Si se identifica al usuario como de interés, otro JavaScript carga un complemento que, a su vez, activa una ventana emergente que insta al usuario a actualizar su software program Adobe Flash. Los usuarios que hacen clic en la ventana emergente terminan teniendo una puerta trasera llamada «Godlike12» instalada en sus sistemas. El malware le permite al actor de la amenaza tomar el command remoto completo del dispositivo infectado para robar datos confidenciales, modificar archivos, recopilar registros y realizar otras actividades maliciosas, Kaspersky dijo.

El grupo de amenaza detrás de la campaña también ha estado utilizando una segunda versión modificada de una puerta trasera de código abierto de Python llamada «Stitch» en los ataques. Esta puerta trasera proporciona a los atacantes una forma de intercambiar información encriptada con el servidor de comando y regulate, dijo el vendedor de seguridad en su alerta.

Ivan Kwiatkowski, investigador senior de seguridad de Kaspersky, dice que el motivo de la campaña de Holy Drinking water sigue sin estar claro. Pero es casi seguro que no tiene una motivación financiera. «Basado en el enfoque extremo de esta campaña, afirmamos que su objetivo period reunir inteligencia sobre la población objetivo», dice.

Tácticas creativas
Lo que hace que la campaña sea diferente es cuán creativos han sido los atacantes en su elección de herramientas, dice Kwiatkowski. La campaña de Holy Drinking water ha estado aprovechando servicios gratuitos de terceros en lugar de una infraestructura adecuada y ha utilizado puertas traseras de código abierto modificadas en sus primeras fases.

«Para nosotros, esto indica que los atacantes tuvieron que trabajar con fondos limitados, pero pudieron encontrar formas de llevar a cabo sus operaciones de todos modos», dice.

Ninguna de las herramientas que Kaspersky encontró en el grupo contiene características de última generación. «Pero es obvio que el grupo detrás de esta campaña pudo lograr la eficiencia operativa en un corto período de tiempo», dice.

Kwiatkowski dice que Kaspersky no ha podido determinar cómo los atacantes inicialmente comprometieron los sitios world-wide-web que se están utilizando como abrevaderos y se les colocó malware. Sin embargo, es possible que hayan explotado alguna vulnerabilidad del application. Todos los sitios world-wide-web con agujeros de agua que descubrió Kaspersky ejecutaban WordPress, y algunos de ellos también estaban alojados en la misma dirección IP, dice.

Kaspersky tampoco ha podido confirmar qué información buscan exactamente los atacantes para determinar si un visitante de uno de los sitios world-wide-web de pozos de agua es de su interés. Pero según la información del sistema que se envía al servidor remoto, parece que los atacantes eligen a sus víctimas en función de dónde se encuentran geográficamente.

La campaña de Holy Drinking water es un recordatorio de por qué los administradores de sitios website deben mantener su pila de computer software actualizada y tener controles para detectar rastros de compromiso en sus máquinas. «En el caso de los ataques de agua, recomendamos que se tomen medidas para detectar cualquier modificación no planificada en las páginas del sitio website», dice Kwiatkowski.

Los sitios net que apoyan a las comunidades en riesgo también deben prestar atención a tales campañas, agrega. «(Tales sitios) también pueden ser atacados porque, de alguna manera, son vectores de acceso a víctimas potenciales». Kwiatkowski dice.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Examining para obtener características, datos de amenazas y perspectivas en profundidad. Historia destacada de hoy: «Desenredando el riesgo de terceros (y cuarto y quinto …)».

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia primary