El Duque y la
Duquesa de Cambridge ahora son los orgullosos padres de un niño y del futuro
heredero del trono británico. Mientras ellos disfrutan de la alegría de ser una
familia, los cibercriminales han estado muy ocupados, como era de esperarse,
lanzando varias campañas maliciosas para aprovechar esta noticia.
La Websense ThreatSeeker® Intelligence
Cloud ha estado
siguiendo la pista de las campañas cibernéticas maliciosas que iniciaron pocas
horas después del anuncio oficial de que la Duquesa de Cambridge estaba en trabajo
de parto.
“La histeria de
los medios tras el nacimiento del bebé real ha visto a la audiencia de Internet
dispararse en todo el mundo, lo que crea el escenario perfecto para los
cibercriminales que buscan aprovecharse de la curiosidad de la gente.
Los
autores de códigos maliciosos han estado esperando este anuncio durante varios
meses por lo que no nos sorprende que se observen campañas maliciosas cuando la
atención del público alcanzó un estado de agitación extrema.
El código malicioso que
utiliza estas técnicas opera a lo largo de una serie de etapas del ciclo de
vida de los ataques. Esto requiere que las defensas de la compañía tengan
múltiples capas implementadas apropiadamente e integradas en tiempo real en los
vectores de la web, el correo electrónico, las redes sociales y la movilidad
para protegerse.
Así mientras Jorge Alejandro Luis es el tercero en la línea de sucesión
al trono, sin la protección adecuada, al parecer su empresa podría ser la
siguiente en la línea para las ciberamenazas maliciosas más recientes”, señaló
Carl Leonard, director de investigación de seguridad.
Las campañas detectadas hasta ahora están utilizando formas de llamar
la atención a través de los señuelos del correo electrónico, desde las cuales
dirigen a las víctimas desprevenidas a URLs que tienen el Blackhole Exploit
Kit o de hecho, contienen archivos adjuntos maliciosos en la forma de
archivos Windows SCR en un intento por embaucar a los usuarios. Estos tipos de
amenazas a menudo se lanzan cuando surgen noticias de actualidad o globales.
Analizaremos paso a paso las dos campañas actuales para relacionarlas con
nuestras 7 Etapas de las Amenazas Avanzadas y explicaremos cómo se propagan, e ilustraremos
cómo la cadena que lleva al contenido malicioso se interrumpe si alguien rompe
uno de los eslabones.
Señuelo
En el ejemplo más reciente de una campaña maliciosa que aprovecha la sed de
noticias de los usuarios, la Websense ThreatSeeker® Intelligence
Cloud detectó y
detuvo más de 60 mil correos electrónicos con el asunto "The Royal
Baby: Live Updates" (incluyendo
las comillas) que imitaba a una notificación de ScribbleLIVE/CNN e invitaba a
las víctimas a “enterarse de lo último”. Al pulsar sobre los enlaces de este
correo electrónico la víctima era llevada al mismo URL malicioso. Esto es
similar a una reciente campaña que utilizaba eventos de actualidad en los
señuelos de los correos electrónicos (la
Campaña Maliciosa de Correo Electrónico con el tema de Fox News).
El señuelo del correo electrónico: Enlaces para Redirigir a los URLs…
Una campaña
distinta que utiliza varios señuelos que contienen archivos adjuntos maliciosos
se detectó en bajos volúmenes con asuntos atractivos diseñados para despertar
el interés e invitar a las víctimas a abrir el mensaje:
- Amazing, incredible share! Follow our leader, share it!
(¡Sorpréndente
e increíble! ¡Siga a nuestro líder, compártalo!)
- Royal Baby: Diana, Charlotte or Albert (El bebé real: Diana, Charlotte o Alberto)
- Royal baby in fantastic picture! (¡Una fotografía fantástica del
bebé real!)
Además de los
asuntos variados pero centrados en el tema del Bebé Real, los mensajes invitan
a las víctimas a abrir la “imagen” adjunta aunque el archivo es un binario
malicioso utilizado para contactar a la infraestructura de comando y control
(C2) y bajar más cargas maliciosas:
Señuelo del Correo Electrónico: Archivo Adjunto Malicioso...
Si usted recibe
algunas de las últimas noticias por correo electrónico o mensajes no
solicitados respecto a eventos de actualidad, asegúrese de que el mensaje es
legítimo antes de pulsar sobre los enlaces o descargar los archivos adjuntos.
Es muy poco probable que las agencias de noticias serias envíen correo
electrónico no solicitado, y por lo tanto cualquier mensaje que no se espera
debe ser tratado con cuidado.
Por su propia
naturaleza, los señuelos dependen de la curiosidad humana y de nuestra sed de información.
Además de necesitar una solución de seguridad integrada que sea capaz de
detectar y proteger contra estos señuelos que se pueden enviar por las redes
sociales o por correo electrónico, los usuarios también necesitan educarse para
tener cautela con los enlaces o los mensajes no solicitados y considerar
visitar los sitios de noticias respetables directamente para consultar la
información más reciente.
Redirigir
(Fase 3 de las 7 Etapas de las Amenazas Avanzadas )
Si los usuarios
muerden el señuelo de ScribbleLIVE/CNN son llevados a sitios intermedios que redirigen a las víctimas a sitios que
contienen un código de explotación en este caso el Blackhole
Exploit Kit.
Los sitios a los que se redirige, como siempre es el caso, son sitios
legítimos que han sido comprometidos o que se les ha inyectado un código
malicioso que está oculto y ofuscado para abusar de la reputación del sitio que
se ha comprometido. El análisis en tiempo real de estos sitios en el momento de
ir hacia ellos ofrece protección inmediata y rompe la cadena de forma efectiva antes
de que una víctima sea redirigida a una explotación.
Kit de
Explotación
(Fase 4 de las 7 Etapas de las Amenazas Avanzadas)
Otra cosa que
vemos en estas campañas de noticias de actualidad y globales es el uso de kits
de explotación comunes y accesibles como Blackhole, que permite que los cibercriminales
desplieguen rápidamente su infraestructura de ataque y atrapen a tantas
víctimas como sea posible.
Una vez que se ha visitado el URL del kit de
explotación la máquina de la víctima probablemente será analizada para detectar
las vulnerabilidades que pueden ser explotadas para enviar cargas maliciosas.
En este caso, así como se descarga malware como Zeus, que está diseñado para
robar información financiera de las víctimas, el sitio utiliza un método de
ingeniería social para hacer que la víctima instale una actualización falsa de
Adobe Flash Player:
Kit de
Explotación: Ingeniería social con una actualización falsa de Adobe Flash Player…
El análisis en
tiempo real del contenido web y de las cargas maliciosas protege a los usuarios
contra las amenazas conocidas y desconocidas.
Archivo Gotero
(Fase 5 de las 7 Etapas de las Amenazas Avanzadas)
Si la
explotación tiene éxito se utilizan archivos gotero y/o de descarga para
instalar cargas maliciosas adicionales en la máquina de la víctima.
De las
campañas descritas hasta ahora una depende de que la víctima muerda el anzuelo
y después sea redirigida a un sitio de explotación desde el cual se entregaría ésta,
mientras que la otra simplemente anexa un archivo malicioso directamente al
señuelo inicial en el correo electrónico.
Estos archivos a menudo están
cifrados y empaquetados para impedir que las soluciones tradicionales basadas
en firmas los detecten y por lo tanto requieren de soluciones avanzadas para
reconocer el comportamiento malicioso como Websense ThreatScope™.
Usando el archivo adjunto del correo como ejemplo, el Reporte de Análisis ThreatScope™ ilustra muy bien cómo el archivo
enviaba solicitudes a los servidores maliciosos y cómo escribía más archivos
ejecutables en el sistema de archivos local.
Llamando a Casa
(Fase 6 de las 7 Etapas de las Amenazas Avanzadas)
Una vez que la
máquina de una víctima tiene instalada una carga maliciosa tratará de “llamar a
casa” y contactar a la infraestructura C2 para recibir órdenes de quienes están
detrás de la campaña. La detección en tiempo real de las comunicaciones maliciosas
salientes, en lugar de una amenaza detectada en su etapa inicial, puede evitar
esa llamada a casa y prevenir que los atacantes logren sus objetivos.
Robo de Datos
(Fase 7 de las 7 Etapas de las Amenazas Avanzadas)
La exfiltración
de datos – ya sea la información personalmente identificable (PII) de un
individuo, los datos confidenciales de una compañía o incluso la lista de los
probables nombres del bebé real – es el fin de los atacantes. Utilizar métodos
como “sacar a cuenta gotas” lentamente los datos de una red comprometida o
crear rutinas de encripción a la medida para permanecer ocultos, los atacantes
intentan robar datos que pueden utilizarse para realizar más ataques o
simplemente para obtener una ganancia.
Pueden implementarse funcionalidades
avanzadas de la pérdida o robo de datos como Drip DLP, el análisis de OCR y la
detección de rutinas de codificación para mantener sus datos en el lugar al que
pertenecen y lejos de las manos de los criminales cibernéticos.
Los clientes de
Websense están protegidos por ACE, nuestro Advanced Classification Engine contra las amenazas cibernéticas de
esta naturaleza en varias etapas a lo largo de la cadena. Mientras esperamos
más anuncios oficiales sobre el Bebé Real, el equipo de Websense Security Labs™
está monitoreando los desarrollos y publicará actualizaciones si surgen más
campañas.
0 comentarios:
Publicar un comentario