"DarkHotel" utiliza certificados criptográficos falsos para atrapar a los ejecutivos conectados a la WiFi
Posted by Unknown on 1:38 p.m. with No comments
Los operadores del malware saben con antelación cuando un ejecutivo va a realizar un Check-in o un Check-out.
Los investigadores han
descubierto un malware que lleva operando siete años, combina ataques criptográficos
avanzados, exploits zero-day y keyloggers bien desarrollados para apuntar
ejecutivos de élite que se alojen en hoteles de lujo durante viajes de
negocios.
Los atacantes detrás de
"DarkHotel", parecen saber de antemano cuando un ejecutivo se
registrara o saldrá de un hotel. Las víctimas se infectan a través de una
variedad de métodos, incluyendo las actualizaciones de software falso para
Adobe Flash, Google Toolbar, u otro software de confianza que se presentan
cuando el ejecutivo utiliza el Wi-Fi del Hotel o el acceso a Internet por
cable. En muchos casos, el código de ataque se firma con un certificado digital
de confianza que los atacantes fueron capaces de clonar una clave privada de
512 bits. Estas claves débiles de 512 bits han sido utilizadas desde hace
varios años, no obstante los ataques criptográficos son una capacidad
"avanzado" que ha ganado terreno en el último par de años. En
conjunto, las características son una indicación de que los operadores tienen
cierta sofisticación, dijeron los investigadores de Kaspersky Lab, la empresa
de seguridad con sede en Rusia, que da a conocer la campaña.
Los investigadores han comentado
que "El hecho de que la mayoría de las veces las víctimas son altos
ejecutivos indica que los atacantes tienen conocimiento de su paradero,
incluyendo el nombre y el lugar de estancia". "Esto pinta un lugar
peligroso y oscuro en el que los viajeros desprevenidos pueden caer fácilmente.
Mientras que la razón exacta por la que algunos hoteles funcionan como un
vector atacante se desconoce, existen ciertas sospechas, indicando posiblemente
un compromiso mucho mayor. Todavía estamos investigando este aspecto de la
operación y publicará más información en el futuro".
Investigadores de Kaspersky
observaron a DarkHotel operando en varias redes hoteleras, en el momento que
las personas se conectan a las redes Wi-Fi se le pedirá instalar las actualizaciones
de software falsas. En otros casos, los objetivos se infectan a través de
mensajes spearphishing, algunos de los cuales incluyen código de ataque
explotando vulnerabilidades previamente desconocidas en Flash, Internet
Explorer, u otros tipos de software. Una vez que el computador es infectado por
DarkHotel, instalará diversos keyloggers y otras formas de malware que se
adaptan a las víctimas específicas. El malware supervisa las contraseñas, las
comunicaciones y la información del sistema en las máquinas infectadas y
periódicamente envía los datos en forma cifrada a los servidores controlados
por los atacantes. Una de las cosas que hace la campaña inusual es su uso de
las redes de hoteles de lujo como un pozo de agua de todo tipo para atacar e
infectar a los ejecutivos de alto valor.
El reporte afirma:
Los atacantes de Darkhotel
esperan a que sus víctimas se conecten a Internet a través de la red del Hotel (WiFi
o Cable), usan la probabilidad de que los objetivos se conecten a través de
estos recursos, como si fuera un pozo de agua. Adicionalmente mantienen
información dirigida, verdaderamente precisa sobre la visita de la/s víctima, conocen
la dirección de correo electrónico e intereses de contenido en un ataque
spearphishing. Mientras que preparan el ataque, ya sabían de antemano el
momento de llegada y/o salida de sus objetivos, número de habitación y el
nombre completo, entre otros datos. Estos datos permiten a los atacantes presentar
un iframe malicioso personalizado para cada individuo. Así pues, aquí tenemos
otra característica única de este atacante, utiliza un enfoque ofensivo de alta
precisión.
El malware también se sembró en los
feeds de bittorrent, donde fue descargado más de 30.000 veces en menos de seis
meses. Sensores de la red de propiedad de Kaspersky han detectado
"miles" de infecciones DarkHotel. Japón, Taiwán, China, Rusia y Corea
fueron los cinco países más afectados por el malware.
0 comentarios:
Publicar un comentario