Tipo de virus: malware, amenaza persistente avanzada (APT)
El Equipo global de investigación y análisis de Kaspersky Lab analizó el ataque más reciente de una amenaza de virus denominada "Darkhotel". La amenaza Darkhotel parece ser una combinación de spear phishing y malware peligroso diseñada para capturar datos confidenciales.
Los cibercriminales que han desarrollado Darkhotel llevan casi una década activos y ha dirigido sus ataques a miles de víctimas de todo el mundo. Se ha observado un 90 % de las infecciones por Darkhotel en Japón, Taiwán, China, Rusia y Corea, pero también en Alemania, Estados Unidos, Indonesia, India e Irlanda.
Esta campaña es poco usual, en cuanto a que utiliza diversos grados de segmentación maliciosa.
En un extremo del espectro, utiliza correos electrónicos de spear-phishing para infiltrarse en bases industriales de defensa (DIB, por sus siglas en inglés), gobiernos, ONG, grandes fabricantes de productos electrónicos y periféricos, empresas farmacéuticas, proveedores de servicios médicos, organizaciones relacionadas con el ámbito militar y formuladores de políticas energéticas. Estos ataques siguen el mismo proceso de spear phishing con infiltraciones de Darkhotel cuidadosamente encubiertas. El contenido del correo electrónico que se usa como señuelo a menudo incluye temas relacionados con energía nuclear y capacidades armamentistas. Durante los últimos años, los correos electrónicos de spear phishing han incluido un exploit de día cero para Adobe como archivo adjunto o como un enlace que dirige los navegadores de los objetivos a exploits de día cero para Internet Explorer. Su objetivo es robar datos de estas organizaciones.
En el otro extremo del espectro, propaga malware de manera indiscriminada a través de sitios de intercambio de archivos P2P (entre pares) japoneses. El malware se entrega como parte de un archivo RAR de gran tamaño que pretende ofrecer contenido de naturaleza sexual, pero instala un troyano de puerta trasera que recopila información confidencial de la víctima.
En un enfoque intermedio entre estos dos, los atacantes fijan su objetivo en ejecutivos incautos que viajan al extranjero y se hospedan en un hotel. En este caso, infectan a las víctimas con un troyano poco común que se disfraza de una de las numerosas versiones de software importantes, como la barra de herramientas de Google, Adobe Flash y Windows Messenger. Los atacantes usan esta infección de primera etapa para calificar a sus víctimas y descargar otros tipos de malware en las computadoras de las víctimas más significativas con el fin de robar datos confidenciales.
Parece, por una cadena encontrada en el código malicioso, que la amenaza apunta a un atacante coreano como origen.
A pesar de la sofisticación técnica de numerosos ataques dirigidos, estos normalmente comienzan engañando a empleados individuales para que hagan algo que ponga en riesgo la seguridad corporativa. Los empleados que desempeñan cargos de cara al público (por ejemplo, ejecutivos de nivel superior, personal de ventas y marketing) pueden ser especialmente vulnerables, dado que a menudo se desplazan de un lugar a otro y es probable que usen redes poco confiables (como cuando se hospedan en hoteles) para conectarse a una red corporativa.
Aunque es difícil implementar una estrategia de prevención total, te ofrecemos algunos consejos para mantenerte seguro mientras viajas.