El ataque del pozo de agua Holy H2o ataca a los visitantes de ciertos sitios web con malware


Esta campaña intenta engañar a los usuarios para que acepten una actualización falsa de Adobe Flash, que luego instala malware para dar al atacante acceso remoto completo, dice Kaspersky.

Con muchos sitios web maliciosos, un usuario generalmente necesita hacer clic en un enlace para activar una cadena de eventos que luego podrían provocar una infección de malware. Pero en algunos casos, todo lo que tiene que hacer es visitar un sitio en particular para desencadenar un posible ataque de malware. Eso es cierto con una serie de sitios descubiertos por el proveedor de seguridad Kaspersky en diciembre pasado. en un informe publicado el martes, Kaspersky detalló el comportamiento de varios sitios website de pozos de agua establecidos a través de una campaña de malware denominada Holy Water.

Para establecer un ataque a un pozo de agua, los ciberdelincuentes observan o determinan qué sitios son visitados por grupos particulares de personas y luego comprometen esos sitios con malware. En el caso de Holy Water, los sitios website afectados son propiedad de personalidades, organismos públicos, organizaciones benéficas y varias organizaciones con los atacantes dirigidos a personas de un grupo religioso y étnico asiático específico.

Así es como funciona esta campaña en certain, según Kaspersky. Cuando un usuario visita un sitio comprometido, se carga automáticamente una pieza de JavaScript malicioso para determinar si esta persona es un objetivo potencial. Si es así, una segunda pieza de JavaScript carga un complemento que lanza una ventana emergente falsa de actualización de Adobe Flash. Al aceptar la actualización, se descarga un instalador malicioso que configura una puerta trasera llamada Godlike12. Este exploit le da al atacante acceso remoto full a la computadora infectada donde puede cambiar archivos y robar información confidencial.

Holy-Water-targeting-attack-kaspersky.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/04/01/2fbf894b-5e3d-4c5e-becd-49d571a6d653/resize/770x /781201108dba0498fdcb4be4eaea416c/holy-water-targeting-attack-kaspersky.jpg

Advertencia generada por la campaña del pozo de agua Holy Drinking water.

Imagen: Kaspersky

La ventana emergente falsa de Adobe Flash está vinculada a un archivo ejecutable alojado en GitHub. Después de enterarse del ataque de malware de Kaspersky, GitHub deshabilitó el repositorio del archivo, lo que al menos detuvo el aspecto de infección de la campaña. Sin embargo, algunos de los sitios website afectados, que están alojados en el mismo servidor, aún están en peligro y pueden llevar a los usuarios específicos a malware.

VER: Strategy de respuesta a incidentes de malware (TechRepublic High quality)

Casi 10 sitios website se han visto comprometidos con al menos docenas de hosts implantados, lo que demuestra que los atacantes han establecido un tipo grande pero específico de campaña de abrevaderos. Las herramientas maliciosas utilizadas en la campaña parecen ser de bajo presupuesto y no están completamente desarrolladas y se han modificado varias veces en solo unos meses. Eso sugiere un equipo pequeño y ágil detrás del ataque, según Kaspersky.

Aunque Kaspersky no ha podido observar este ataque en la naturaleza, la compañía no cree que la puerta trasera Godlike12 esté extendida y probablemente se esté utilizando para realizar reconocimiento y exfiltración de datos.

«Un abrevadero es una estrategia interesante que ofrece resultados utilizando ataques dirigidos a grupos específicos de personas», dijo Ivan Kwiatkowski, investigador senior de seguridad de Kaspersky, en un comunicado de prensa. «No pudimos presenciar ningún ataque en vivo y, por lo tanto, no pudimos determinar el objetivo operativo. Sin embargo, esta campaña demuestra una vez más por qué la privacidad en línea necesita protección activa. Los riesgos de privacidad son especialmente altos cuando consideramos a varios grupos sociales y minorías porque siempre son actores interesados ​​en obtener más información sobre estos grupos «.

Ver también

Ataque de malware de computadora "src =" https://tr1.cbsistatic.com/hub/i/r/2020/03/16/478f44e4-23d7-4cbb-93ef-fd697698093d/resize/770x/eb9f42affe8f7c44140dc3b13ca0916d/malware.jpg

Imagen: Getty Illustrations or photos / iStockphoto



Enlace a la noticia primary