"DarkHotel" utiliza certificados criptográficos falsos para atrapar a los ejecutivos conectados a la WiFi

Los operadores del malware saben con antelación cuando un ejecutivo va a realizar un Check-in o un Check-out.

Los investigadores han descubierto un malware que lleva operando siete años, combina ataques criptográficos avanzados, exploits zero-day y keyloggers bien desarrollados para apuntar ejecutivos de élite que se alojen en hoteles de lujo durante viajes de negocios.

Los atacantes detrás de "DarkHotel", parecen saber de antemano cuando un ejecutivo se registrara o saldrá de un hotel. Las víctimas se infectan a través de una variedad de métodos, incluyendo las actualizaciones de software falso para Adobe Flash, Google Toolbar, u otro software de confianza que se presentan cuando el ejecutivo utiliza el Wi-Fi del Hotel o el acceso a Internet por cable. En muchos casos, el código de ataque se firma con un certificado digital de confianza que los atacantes fueron capaces de clonar una clave privada de 512 bits. Estas claves débiles de 512 bits han sido utilizadas desde hace varios años, no obstante los ataques criptográficos son una capacidad "avanzado" que ha ganado terreno en el último par de años. En conjunto, las características son una indicación de que los operadores tienen cierta sofisticación, dijeron los investigadores de Kaspersky Lab, la empresa de seguridad con sede en Rusia, que da a conocer la campaña.

Los investigadores han comentado que "El hecho de que la mayoría de las veces las víctimas son altos ejecutivos indica que los atacantes tienen conocimiento de su paradero, incluyendo el nombre y el lugar de estancia". "Esto pinta un lugar peligroso y oscuro en el que los viajeros desprevenidos pueden caer fácilmente. Mientras que la razón exacta por la que algunos hoteles funcionan como un vector atacante se desconoce, existen ciertas sospechas, indicando posiblemente un compromiso mucho mayor. Todavía estamos investigando este aspecto de la operación y publicará más información en el futuro".

Investigadores de Kaspersky observaron a DarkHotel operando en varias redes hoteleras, en el momento que las personas se conectan a las redes Wi-Fi se le pedirá instalar las actualizaciones de software falsas. En otros casos, los objetivos se infectan a través de mensajes spearphishing, algunos de los cuales incluyen código de ataque explotando vulnerabilidades previamente desconocidas en Flash, Internet Explorer, u otros tipos de software. Una vez que el computador es infectado por DarkHotel, instalará diversos keyloggers y otras formas de malware que se adaptan a las víctimas específicas. El malware supervisa las contraseñas, las comunicaciones y la información del sistema en las máquinas infectadas y periódicamente envía los datos en forma cifrada a los servidores controlados por los atacantes. Una de las cosas que hace la campaña inusual es su uso de las redes de hoteles de lujo como un pozo de agua de todo tipo para atacar e infectar a los ejecutivos de alto valor.

El reporte afirma:

Los atacantes de Darkhotel esperan a que sus víctimas se conecten a Internet a través de la red del Hotel (WiFi o Cable), usan la probabilidad de que los objetivos se conecten a través de estos recursos, como si fuera un pozo de agua. Adicionalmente mantienen información dirigida, verdaderamente precisa sobre la visita de la/s víctima, conocen la dirección de correo electrónico e intereses de contenido en un ataque spearphishing. Mientras que preparan el ataque, ya sabían de antemano el momento de llegada y/o salida de sus objetivos, número de habitación y el nombre completo, entre otros datos. Estos datos permiten a los atacantes presentar un iframe malicioso personalizado para cada individuo. Así pues, aquí tenemos otra característica única de este atacante, utiliza un enfoque ofensivo de alta precisión.

El malware también se sembró en los feeds de bittorrent, donde fue descargado más de 30.000 veces en menos de seis meses. Sensores de la red de propiedad de Kaspersky han detectado "miles" de infecciones DarkHotel. Japón, Taiwán, China, Rusia y Corea fueron los cinco países más afectados por el malware.

Fuente original del articulo