Así utilizan los ciberdelincuentes los servicios de nube pública en sus campañas

  • Cloud

Ciberamenazas malware

La división de ciberinteligencia de Cisco ha alertado sobre las campañas que abusan fraudulentamente de los servicios de nube pública para lograr sus objetivos. La firma ha analizado cómo son las campañas de malware y da su visión sobre cómo atajarlas.

Recomendados: 

Cloud: en busca de la agilidad Encuesta

Claves para una estrategia multicloud de éxito Webinar

La hoja de ruta de DevOps en materia de seguridad Leer

Los ciberdelincuentes utilizan cada vez más las plataformas de cloud pública para lograr sus objetivos, según Cisco Talos. Esta división de Cisco explica que “así no recurren al de su propia infraestructura. Empleando fraudulentamente servicios de nube pública como Azure y AWS, configuran el malware con rapidez y sin apenas coste económico”.

Sus expertos han descubierto diversas campañas basadas en este mecanismo. La última, detectada a finales de octubre y que afectó principalmente a Estados Unidos, Italia y Singapur, aprovechó los servicios cloud para desplegar y entregar variantes de herramientas de administración remota (RATs) capaces de tomar el control del equipo de la víctima y robar información.

Malware detectado
Las familias de malware asociadas a esta campaña son variantes de los troyanos de acceso remoto Netwire, Nanocore y AsyncRAT. Para entregar la carga útil del malware, el ciberdelincuente registró varios subdominios maliciosos de los hosts utilizando DuckDNS, un servicio de DNS dinámico gratuito.

De acuerdo con sus explciaciones, el vector de infección inicial es un correo electrónico de phishing con un archivo adjunto ZIP malicioso. Estos archivos ZIP contienen una imagen ISO con un cargador en forma de JavaScript, un archivo batch de Windows o un script de Visual Basic que al ejecutarse en la máquina de la víctima descarga el malware alojado en un servidor Windows basado en Azure Cloud o en una instancia AWS EC2.

Ante este escenario, según la firma, las organizaciones deberían disponer de herramientas nativas de seguridad en la nube que proporcionen una visión global de la actividad en estos entornos. “En particular, es vital inspeccionar las conexiones salientes a los servicios de computación en la nube en busca de tráfico malicioso”, asegura Ángel Ortiz, director de ciberseguridad de Cisco España.