{"id":18311,"date":"2020-04-06T09:11:36","date_gmt":"2020-04-06T15:11:36","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18311"},"modified":"2020-08-03T06:45:42","modified_gmt":"2020-08-03T12:45:42","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/","title":{"rendered":"El malware Holy Water infecta dispositivos en Asia"},"content":{"rendered":"

A finales del 2019, nuestros investigadores de ciberseguridad<\/a><\/strong>\u00a0 utilizaron la t\u00e9cnica de water hole<\/em><\/strong><\/a> para descubrir un ataque dirigido<\/a><\/strong>. Sin desplegar ning\u00fan truco sofisticado ni explotar ninguna vulnerabilidad<\/strong>, los cibercriminales<\/strong> infectaron los dispositivos de los usuarios en Asia durante un per\u00edodo de al menos ocho meses. Bas\u00e1ndose en el tema de los sitios web maliciosos<\/strong> utilizados para difundir el malware<\/em><\/strong>, el ataque fue bautizado como Holy Water<\/em><\/strong> (agua bendita en espa\u00f1ol). Este es el segundo ataque que hemos descubierto con dichas t\u00e1cticas en los \u00faltimos meses (visita esta publicaci\u00f3n sobre el spyware<\/em> lightspy<\/a><\/strong> para conocer el otro hallazgo de nuestros investigadores de ciberseguridad).<\/p>\n

\u00a0<\/p>\n

\u00bfC\u00f3mo infectaba Holy Water<\/em> los dispositivos de los usuarios?<\/h2>\n

Parece que los cibercriminales<\/strong> consegu\u00edan comprometer en alg\u00fan momento un servidor que aloja p\u00e1ginas web que pertenecen principalmente a figuras religiosas, organizaciones p\u00fablicas y organizaciones ben\u00e9ficas. Los cibercriminales incorporaban scripts maliciosos<\/a><\/em><\/strong> en el c\u00f3digo<\/strong> de estas p\u00e1ginas, que luego se utilizaban para llevar a cabo los ataques.<\/p>\n

Cuando los usuarios visitaban una p\u00e1gina web infectada<\/a><\/strong>, los scripts<\/em><\/strong> utilizaban herramientas leg\u00edtimas para recopilar datos sobre ellos y enviarlos a un servidor de terceros para su validaci\u00f3n. No sabemos c\u00f3mo se seleccionaban las v\u00edctimas del malware<\/em> Holy Water<\/strong>, pero s\u00ed ten\u00edan en cuenta la informaci\u00f3n recibida: si el objetivo era prometedor, el servidor enviaba un comando para continuar con el ataque.<\/p>\n

El siguiente paso del ciberataque Holy Water<\/strong> implicaba un truco ahora est\u00e1ndar (en uso durante m\u00e1s de una d\u00e9cada): solicitaban al usuario que actualizara Adobe Flash Player<\/a><\/strong>, supuestamente desactualizado, lo que pod\u00eda suponer un riesgo para su seguridad. Si la v\u00edctima aceptaba, entonces, en lugar de la actualizaci\u00f3n prometida, la puerta trasera Godlike12<\/strong> se descargaba e instalaba en la computadora.<\/p>\n

<\/h2>\n

Los peligros de Godlike12<\/h2>\n

Los autores del ataque hac\u00edan uso activo de servicios leg\u00edtimos, tanto para identificar a las v\u00edctimas como para almacenar el c\u00f3digo malicioso<\/strong> (la puerta trasera estaba citada en GitHub<\/a><\/strong>). Se comunicaban con los servidores de comando y control a trav\u00e9s de Google Drive<\/strong>.<\/p>\n

La puerta trasera<\/strong> colocaba un identificador en el almacenamiento<\/strong> de Google Drive<\/strong> y realizaba llamadas de forma regular para comprobar los comandos de los atacantes. Los resultados de la ejecuci\u00f3n de dichos comandos tambi\u00e9n se cargaban all\u00ed. Seg\u00fan nuestros expertos en ciberseguridad, el prop\u00f3sito del ciberataque Holy Water era el reconocimiento<\/strong> y la recopilaci\u00f3n de informaci\u00f3n<\/strong> de dispositivos comprometidos<\/a><\/strong>.<\/p>\n

Si te interesa la informaci\u00f3n m\u00e1s t\u00e9cnica y las herramientas empleadas, no te quedes sin visitar la publicaci\u00f3n de Securelist sobre Holy Water<\/em><\/a><\/strong>, que tambi\u00e9n recopila los indicadores de compromiso<\/strong>.<\/p>\n

C\u00f3mo protegerte contra Holy Water<\/em><\/h2>\n

Hasta ahora, hemos visto a Holy Water<\/em><\/strong> solo en Asia. No obstante, las herramientas utilizadas en la campa\u00f1a son bastante simples y pueden acabar implement\u00e1ndose en otros lugares f\u00e1cilmente. Por lo tanto, aconsejamos que todos los usuarios se tomen estas recomendaciones para protegerse del malware<\/em><\/strong> en serio, sin importar su ubicaci\u00f3n.<\/p>\n

No podemos confirmar que el ataque Holy Water est\u00e9 dirigido contra ciertas personas u organizaciones. Pero una cosa es cierta: cualquiera puede visitar los sitios infectados<\/strong> desde dispositivos dom\u00e9sticos y laborales<\/a><\/strong>. Por lo tanto, nuestro consejo principal es que protejas cualquier dispositivo con acceso a Internet. Nosotros ofrecemos soluciones de seguridad<\/a><\/strong> para equipos personales<\/a> y corporativos<\/a>. Los productos de ciberseguridad<\/a><\/strong> de Kaspersky detectan y bloquean todas las herramientas y t\u00e9cnicas que utilizan los creadores de Holy Water<\/em>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los atacantes est\u00e1n infectando las computadoras de los usuarios con una puerta trasera que se hace pasar por una actualizaci\u00f3n de Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":18312,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3929,122,3930],"class_list":{"0":"post-18311","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-abrevadero","11":"tag-apt","12":"tag-ataque-dirigido"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/holy-water-apt\/28021\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=18311"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18311\/revisions"}],"predecessor-version":[{"id":18327,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18311\/revisions\/18327"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18312"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=18311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=18311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=18311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}