Detectado un ataque watering hole contra organismos públicos y benéficos

  • Endpoint

En la campaña, denominada Holy Water, se han visto comprometidos más de 10 sitios web para detonar selectivamente un ataque y establecer una puerta trasera en dispositivos infectados, permitiendo modificar archivos, recoger datos confidenciales y registrar su actividad.

Los investigadores de Kaspersky han descubierto una campaña watering-hole, activa desde mayo de 2019. Dirigida a usuarios de Asia, más de 10 sitios web relacionados con la religión, programas de voluntariado, organizaciones benéficas y otras áreas se vieron comprometidos para detonar selectivamente un ataque y establecer una puerta trasera en los dispositivos de los objetivos. Los atacantes utilizaron herramientas creativas, que incluían la distribución por GitHub y código abierto.

Recomendados: 

WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro 

WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

Un ataque watering hole es una estrategia de ataque dirigido en la que los ciberdelincuentes comprometen sitios web para acceder a víctimas potenciales y quedan a la espera de que el malware implantado acabe en sus equipos. Para exponerse al malware, el usuario sólo tiene que visitar un sitio web comprometido, lo que hace que este tipo de ataque sea fácil de propagar. En la campaña, denominada “Holy Water”, se instalaban “water-holes” en sitios web de personalidades, organismos públicos y organizaciones benéficas, entre otros.

Este ataque waterhole se realizaba en múltiples fases utilizando un conjunto de herramientas poco sofisticadas pero creativas. Al visitar uno de los sitios web afectados, un recurso previamente comprometido carga un Javascript malicioso ofuscado que recoge información sobre el visitante. Un servidor externo determina entonces si el visitante es un objetivo. Si el visitante es validado como objetivo, la segunda fase del JavaScript carga un plugin, que a su vez desencadena un ataque de descarga, mostrando un falso pop-up de actualización de Adobe Flash.

Se espera que el visitante descargue el paquete de instalación malicioso que establece una puerta trasera llamada "Godlike12", proporcionando así al actor de la amenaza acceso remoto completo al dispositivo infectado, permitiéndole modificar archivos, recoger datos confidenciales y registrar la actividad del ordenador, entre otras acciones.

La falsa ventana emergente de Adobe Flash estaba vinculada a un archivo ejecutable alojado en github.com bajo la apariencia de un archivo de actualización de Flash. GitHub deshabilitó este repositorio el 14 de febrero tras la comunicación de Kaspersky, rompiendo así la cadena de infección de la campaña. Sin embargo, el repositorio ha estado online durante más de 9 meses.

“La estrategia watering-hole resulta interesante porque proporciona resultados mediante ataques dirigidos a grupos específicos. No hemos podido presenciar ningún ataque en vivo y por lo tanto no hemos podido determinar el objetivo operacional. Sin embargo, esta campaña demuestra una vez más por qué es necesario proteger activamente la privacidad online. Los riesgos para la privacidad son especialmente elevados para diversas minorías sociales, porque siempre hay agentes que están interesados en saber más sobre esos grupos", comenta Ivan Kwiatkowski, investigador principal de seguridad de Kaspersky.