APT
A finales del 2019, nuestros investigadores de ciberseguridad utilizaron la técnica de water hole para descubrir un ataque dirigido. Sin desplegar ningún truco sofisticado ni explotar ninguna vulnerabilidad, los cibercriminales infectaron los dispositivos de los usuarios en Asia durante un período de al menos ocho meses. Basándose en el tema de los sitios web maliciosos utilizados para difundir el malware, el ataque fue bautizado como Holy Water (agua bendita en español). Este es el segundo ataque que hemos descubierto con dichas tácticas en los últimos meses (visita esta publicación sobre el spyware lightspy para conocer el otro hallazgo de nuestros investigadores de ciberseguridad).
¿Cómo infectaba Holy Water los dispositivos de los usuarios?
Parece que los cibercriminales conseguían comprometer en algún momento un servidor que aloja páginas web que pertenecen principalmente a figuras religiosas, organizaciones públicas y organizaciones benéficas. Los cibercriminales incorporaban scripts maliciosos en el código de estas páginas, que luego se utilizaban para llevar a cabo los ataques.
Cuando los usuarios visitaban una página web infectada, los scripts utilizaban herramientas legítimas para recopilar datos sobre ellos y enviarlos a un servidor de terceros para su validación. No sabemos cómo se seleccionaban las víctimas del malware Holy Water, pero sí tenían en cuenta la información recibida: si el objetivo era prometedor, el servidor enviaba un comando para continuar con el ataque.
El siguiente paso del ciberataque Holy Water implicaba un truco ahora estándar (en uso durante más de una década): solicitaban al usuario que actualizara Adobe Flash Player, supuestamente desactualizado, lo que podía suponer un riesgo para su seguridad. Si la víctima aceptaba, entonces, en lugar de la actualización prometida, la puerta trasera Godlike12 se descargaba e instalaba en la computadora.
Los peligros de Godlike12
Los autores del ataque hacían uso activo de servicios legítimos, tanto para identificar a las víctimas como para almacenar el código malicioso (la puerta trasera estaba citada en GitHub). Se comunicaban con los servidores de comando y control a través de Google Drive.
La puerta trasera colocaba un identificador en el almacenamiento de Google Drive y realizaba llamadas de forma regular para comprobar los comandos de los atacantes. Los resultados de la ejecución de dichos comandos también se cargaban allí. Según nuestros expertos en ciberseguridad, el propósito del ciberataque Holy Water era el reconocimiento y la recopilación de información de dispositivos comprometidos.
Si te interesa la información más técnica y las herramientas empleadas, no te quedes sin visitar la publicación de Securelist sobre Holy Water, que también recopila los indicadores de compromiso.
Cómo protegerte contra Holy Water
Hasta ahora, hemos visto a Holy Water solo en Asia. No obstante, las herramientas utilizadas en la campaña son bastante simples y pueden acabar implementándose en otros lugares fácilmente. Por lo tanto, aconsejamos que todos los usuarios se tomen estas recomendaciones para protegerse del malware en serio, sin importar su ubicación.
No podemos confirmar que el ataque Holy Water esté dirigido contra ciertas personas u organizaciones. Pero una cosa es cierta: cualquiera puede visitar los sitios infectados desde dispositivos domésticos y laborales. Por lo tanto, nuestro consejo principal es que protejas cualquier dispositivo con acceso a Internet. Nosotros ofrecemos soluciones de seguridad para equipos personales y corporativos. Los productos de ciberseguridad de Kaspersky detectan y bloquean todas las herramientas y técnicas que utilizan los creadores de Holy Water.
