Formas en que se propaga el malware

Aunque el malware se infiltra con mayor frecuencia en una infraestructura corporativa mediante el correo electrónico, este no es el único método de infección.

Es lógico pensar que la forma más segura de prevenir un ciberincidente es evitando que el malware penetre en la infraestructura corporativa. Por ende, cuando desarrollan una estrategia de seguridad de la información, los expertos se centran en los puntos de ataque más obvios como el correo electrónico. De hecho, la mayoría de los ataques empiezan por un correo electrónico, pero no hay que olvidar que los ciberdelincuentes tienen muchos otros métodos para introducir malware bajo la manga. Los expertos del Equipo de análisis e investigación global de Kaspersky nos hablan de otros métodos menos comunes que se usan para infectar y propagar malware con los que se han topado al analizar amenazas recientes.

Typosquatting para falsificar una herramienta

Los creadores del denominado malware AdvancedIPSpyware decidieron incrustar su código en la herramienta Advanced IP Scanner para administradores de sistemas. Crearon dos sitios web con un diseño exactamente igual al original, con nombres de dominio que tan solo se diferenciaban por una letra. O sea, esperaban con que la víctima buscara una herramienta de monitorización de red local y descargara el programa con una puerta trasera desde un sitio falso. Lo curioso es que la versión maliciosa de Advanced IP Scanner se firmó con un certificado digital legítimo que, al parecer, fue robado.

Enlaces en la descripción de los vídeos de YouTube

Los operadores de OnionPoison probaron con algo similar: crearon su propia versión maliciosa del navegador Tor (solo que sin firma digital). Pero, para distribuir su navegador falso, incluyeron, en un canal de YouTube muy popular sobre el anonimato online, un enlace en la descripción de un vídeo con instrucciones para instalar Tor. La versión infectada no se pudo actualizar y contenía una puerta trasera para descargar una biblioteca maliciosa adicional. A su vez, esto permitió que los atacantes pudieran ejecutar comandos arbitrarios en el sistema, además de obtener el historial del navegador y las credenciales de usuario de las cuentas de WeChat y QQ.

Malware que se propaga mediante torrents

Los creadores de CLoader ocultaron sus instaladores de malware bajo la apariencia de juegos pirateados y software útil. Normalmente este método se dirige a los usuarios domésticos, pero, recientemente, con el auge del home office que desdibuja el perímetro corporativo, los torrents maliciosos también pueden representar una amenaza para las computadoras de trabajo. Las víctimas que trataron de descargar software pirateado mediante de torrents, descargaron en su lugar malware capaz de ejecutarse como un servidor proxy en el dispositivo infectado e instalar malware adicional u otorgar acceso remoto no autorizado al sistema.

Movimiento lateral mediante herramientas legítimas

Las versiones más recientes del ransomware BlackBasta pueden propagarse mediante una red local usando ciertas tecnologías de Microsoft. Después de infectar una computadora, el ransomware puede conectarse a Active Directory a través de la biblioteca LDAP, obtener una lista de los equipos de la red local, copiar el malware en ellos y ejecutarlo de forma remota utilizando el Modelo de objetos de componentes (COM). Este método deja menos rastro en el sistema y vuelve más difícil su detección.

Cómo protegerse

Estos ejemplos demuestran que la infraestructura corporativa necesita una protección integral. Está claro que una solución que escanea todos los correos electrónicos entrantes en busca de enlaces maliciosos de phishing y archivos adjuntos probablemente te protegerá contra gran parte de estos ataques. No obstante, hay que tomar en cuenta que cualquier computadora con acceso a Internet debe contar también con su propia protección antimalware. Y, para comprender mejor lo que sucede en tu red corporativa, también recomendamos implementar soluciones.

 

Consejos