DEFINICIÓN DEL VIRUS

Tipo de virus: malware, amenaza persistente avanzada (APT)

¿Qué es la amenaza Darkhotel?

El Equipo global de investigación y análisis de Kaspersky Lab analizó el ataque más reciente de una amenaza de virus denominada "Darkhotel". La amenaza Darkhotel parece ser una combinación de spear phishing y malware peligroso diseñada para capturar datos confidenciales.

Los cibercriminales que han desarrollado Darkhotel llevan casi una década activos y ha dirigido sus ataques a miles de víctimas de todo el mundo. Se ha observado un 90 % de las infecciones por Darkhotel en Japón, Taiwán, China, Rusia y Corea, pero también en Alemania, Estados Unidos, Indonesia, India e Irlanda.

Detalles de la amenaza de virus

¿Cómo funciona la amenaza Darkhotel?

Esta campaña es poco usual, en cuanto a que utiliza diversos grados de segmentación maliciosa.

(1) Spear Phishing

En un extremo del espectro, utiliza correos electrónicos de spear-phishing para infiltrarse en bases industriales de defensa (DIB, por sus siglas en inglés), gobiernos, ONG, grandes fabricantes de productos electrónicos y periféricos, empresas farmacéuticas, proveedores de servicios médicos, organizaciones relacionadas con el ámbito militar y formuladores de políticas energéticas. Estos ataques siguen el mismo proceso de spear phishing con infiltraciones de Darkhotel cuidadosamente encubiertas. El contenido del correo electrónico que se usa como señuelo a menudo incluye temas relacionados con energía nuclear y capacidades armamentistas. Durante los últimos años, los correos electrónicos de spear phishing han incluido un exploit de día cero para Adobe como archivo adjunto o como un enlace que dirige los navegadores de los objetivos a exploits de día cero para Internet Explorer. Su objetivo es robar datos de estas organizaciones.

(2) Distribución de malware

En el otro extremo del espectro, propaga malware de manera indiscriminada a través de sitios de intercambio de archivos P2P (entre pares) japoneses. El malware se entrega como parte de un archivo RAR de gran tamaño que pretende ofrecer contenido de naturaleza sexual, pero instala un troyano de puerta trasera que recopila información confidencial de la víctima.

(3) Infección

En un enfoque intermedio entre estos dos, los atacantes fijan su objetivo en ejecutivos incautos que viajan al extranjero y se hospedan en un hotel. En este caso, infectan a las víctimas con un troyano poco común que se disfraza de una de las numerosas versiones de software importantes, como la barra de herramientas de Google, Adobe Flash y Windows Messenger. Los atacantes usan esta infección de primera etapa para calificar a sus víctimas y descargar otros tipos de malware en las computadoras de las víctimas más significativas con el fin de robar datos confidenciales.

Parece, por una cadena encontrada en el código malicioso, que la amenaza apunta a un atacante coreano como origen.

¿Qué nivel de peligrosidad tiene Darkhotel?

A pesar de la sofisticación técnica de numerosos ataques dirigidos, estos normalmente comienzan engañando a empleados individuales para que hagan algo que ponga en riesgo la seguridad corporativa. Los empleados que desempeñan cargos de cara al público (por ejemplo, ejecutivos de nivel superior, personal de ventas y marketing) pueden ser especialmente vulnerables, dado que a menudo se desplazan de un lugar a otro y es probable que usen redes poco confiables (como cuando se hospedan en hoteles) para conectarse a una red corporativa.

Características de la campaña Darkhotel

  • Ataques dirigidos centrados en víctimas de nivel ejecutivo: directores ejecutivos, vicepresidentes ejecutivos superiores, directores de ventas y marketing, y personal de alto nivel de I+D
  • La banda utiliza ataques dirigidos y operaciones de tipo botnet. Mediante sus acciones, comprometen las redes del hotel y desde dichas redes organizan ataques dirigidos a víctimas de alto perfil seleccionadas. Al mismo tiempo, realizan operaciones de tipo botnet para mantener una vigilancia masiva o ejecutar otras tareas, como ataques DDoS (Denegación de servicio distribuida) o instalar herramientas de espionaje más sofisticadas en las computadoras de las víctimas de mayor interés.
  • Uso de exploits de día cero dirigidos a Internet Explorer y productos Adobe.
  • Uso de un keylogger avanzado y de bajo nivel para robar datos confidenciales.
  • Registro del código malicioso usando certificados digitales robados.
  • Una campaña persistente: Darkhotel lleva activo más de una década.

¿Cómo puedo evitar un ataque de Darkhotel?

Aunque es difícil implementar una estrategia de prevención total, te ofrecemos algunos consejos para mantenerte seguro mientras viajas.

  1. Si tienes planificado acceder a redes Wi-Fi públicas o incluso semipúblicas, procura usar solamente túneles VPN
  2. Infórmate de cómo funcionan los ataques de spear phishing
  3. Mantén y actualiza todos los recursos de software del sistema
  4. Verifica siempre los archivos ejecutables y trata los archivos compartidos a través de redes P2P con cautela y desconfianza
  5. Cuando viajes, procura limitar las actualizaciones de software
  6. Instala productos de software de seguridad de Internet de buena calidad; asegúrate de que incluyan una defensa proactiva contra las nuevas amenazas en lugar de una protección antivirus básica solamente

Otros artículos y enlaces relacionados con Amenazas de malware