Ataque water-holing contra organizaciones religiosas y benéficas
Los investigadores de Kaspersky han descubierto una campaña watering-hole dirigida a usuarios de Asia, activa desde mayo de 2019.
Más de 10 sitios web relacionados con la religión, programas de voluntariado, organizaciones benéficas y otras áreas se vieron comprometidos para detonar selectivamente un ataque y establecer una puerta trasera en los dispositivos de los objetivos. Los atacantes utilizaron herramientas creativas, que incluían la distribución por GitHub y código abierto.
Un ataque watering hole es una estrategia de ataque dirigido en la que los ciberdelincuentes comprometen sitios web considerados terreno fértil para las víctimas potenciales y quedan a la espera de que el malware implantado acabe en sus equipos. Para exponerse al malware, el usuario sólo tiene que visitar un sitio web comprometido, lo que hace que este tipo de ataque sea fácil de propagar y, por tanto, más peligroso. En la campaña, denominada “Holy Water” (Agua Bendita) por los investigadores de Kaspersky, se instalaban “water-holes” en sitios web de personalidades, organismos públicos y organizaciones benéficas, entre otros.
Este ataque waterhole se realizaba en múltiples fases utilizando un conjunto de herramientas poco sofisticadas pero creativas. Lo que resulta diferenciador es su rápida evolución desde su fecha de creación, así como la amplia gama de herramientas utilizadas.
Al visitar uno de los sitios web afectados, un recurso previamente comprometido carga un Javascript malicioso ofuscado que recoge información sobre el visitante. Un servidor externo determina entonces si el visitante es un objetivo. Si el visitante es validado como objetivo, la segunda fase del JavaScript carga un plugin, que a su vez desencadena un ataque de descarga, mostrando un falso pop-up de actualización de Adobe Flash.
Se espera entonces que el visitante sea atraído a la trampa de la actualización y descargue un paquete de instalación malicioso que establece una puerta trasera llamada "Godlike12", proporcionando así al actor de la amenaza acceso remoto completo al dispositivo infectado, permitiéndole modificar archivos, recoger datos confidenciales y registrar la actividad del ordenador, entre otras acciones. En el ataque también se ha utilizado otro backdoor, una versión modificada del backdoor de código abierto de Python llamado Stitch, que proporcionaba las clásicas funcionalidades de backdoor estableciendo una conexión directa para intercambiar datos encriptados en AES con el servidor remoto.
La falsa ventana emergente de Adobe Flash estaba vinculada a un archivo ejecutable alojado en github.com bajo la apariencia de un archivo de actualización de Flash. GitHub deshabilitó este repositorio el 14 de febrero de 2020 tras la comunicación de Kaspersky, rompiendo así la cadena de infección de la campaña. Sin embargo, el repositorio ha estado online durante más de 9 meses, y gracias al historial de GitHub, los investigadores han podido obtener una visión única de la actividad y las herramientas del atacante.
Esta campaña destaca por su bajo presupuesto y su conjunto de herramientas sin terminar de desarrollar, que ha sido modificado varias veces en pocos meses para aprovechar características interesantes como Google Drive C2. Kaspersky cree que el ataque ha sido llevado a cabo por un equipo pequeño y ágil.
“La estrategia watering-hole resulta interesante porque proporciona resultados mediante ataques dirigidos a grupos específicos. No hemos podido presenciar ningún ataque en vivo y por lo tanto no hemos podido determinar el objetivo operacional. Sin embargo, esta campaña demuestra una vez más por qué es necesario proteger activamente la privacidad online. Los riesgos para la privacidad son especialmente elevados para diversas minorías sociales, porque siempre hay agentes que están interesados en saber más sobre esos grupos", comenta Ivan Kwiatkowski, investigador principal de seguridad de Kaspersky.