Websense analiza las Campañas Cibernétic​as Maliciosas desatadas por Bebé Real

05 ago, 2013

El Bebé Real: ¡El Tercero en la Línea de Sucesión al Trono y el Primer Gancho para las Amenazas!

El Duque y la Duquesa de Cambridge ahora son los orgullosos padres de un niño y del futuro heredero del trono británico. Mientras ellos disfrutan de la alegría de ser una familia, los cibercriminales han estado muy ocupados, como era de esperarse, lanzando varias campañas maliciosas para aprovechar esta noticia. La Websense ThreatSeeker® Intelligence Cloud ha estado siguiendo la pista de las campañas cibernéticas maliciosas que iniciaron pocas horas después del anuncio oficial de que la Duquesa de Cambridge estaba en trabajo de parto.

“La histeria de los medios tras el nacimiento del bebé real ha visto a la audiencia de Internet dispararse en todo el mundo, lo que crea el escenario perfecto para los cibercriminales que buscan aprovecharse de la curiosidad de la gente. Los autores de códigos maliciosos han estado esperando este anuncio durante varios meses por lo que no nos sorprende que se observen campañas maliciosas cuando la atención del público alcanzó un estado de agitación extrema.

El código malicioso que utiliza estas técnicas opera a lo largo de una serie de etapas del ciclo de vida de los ataques. Esto requiere que las defensas de la compañía tengan múltiples capas implementadas apropiadamente e integradas en tiempo real en los vectores de la web, el correo electrónico, las redes sociales y la movilidad para protegerse.

Así mientras Jorge Alejandro Luis es el tercero en la línea de sucesión al trono, sin la protección adecuada, al parecer su empresa podría ser la siguiente en la línea para las ciberamenazas maliciosas más recientes”, señaló Carl Leonard, director de investigación de seguridad.

Las campañas detectadas hasta ahora están utilizando formas de llamar la atención a través de los señuelos del correo electrónico, desde las cuales dirigen a las víctimas desprevenidas a URLs que tienen el Blackhole Exploit Kit o de hecho, contienen archivos adjuntos maliciosos en la forma de archivos Windows SCR en un intento por embaucar a los usuarios. Estos tipos de amenazas a menudo se lanzan cuando surgen noticias de actualidad o globales. Analizaremos paso a paso las dos campañas actuales para relacionarlas con nuestras 7 Etapas de las Amenazas Avanzadas y explicaremos cómo se propagan, e ilustraremos cómo la cadena que lleva al contenido malicioso se interrumpe si alguien rompe uno de los eslabones.

Señuelo
(Fase 2 de las 7 Etapas de las Amenazas Avanzadas )

En el ejemplo más reciente de una campaña maliciosa que aprovecha la sed de noticias de los usuarios, la Websense ThreatSeeker® Intelligence Cloud detectó y detuvo más de 60 mil correos electrónicos con el asunto “The Royal Baby: Live Updates” (incluyendo las comillas) que imitaba a una notificación de ScribbleLIVE/CNN e invitaba a las víctimas a “enterarse de lo último”. Al pulsar sobre los enlaces de este correo electrónico la víctima era llevada al mismo URL malicioso. Esto es similar a una reciente campaña que utilizaba eventos de actualidad en los señuelos de los correos electrónicos (la Campaña Maliciosa de Correo Electrónico con el tema de Fox News).

El señuelo del correo electrónico: Enlaces para Redirigir a los URLs…

Una campaña distinta que utiliza varios señuelos que contienen archivos adjuntos maliciosos se detectó en bajos volúmenes con asuntos atractivos diseñados para despertar el interés e invitar a las víctimas a abrir el mensaje:

  • Amazing, incredible share! Follow our leader, share it! (¡Sorpréndente e increíble! ¡Siga a nuestro líder, compártalo!)

  • Royal Baby: Diana, Charlotte or Albert (El bebé real: Diana, Charlotte o Alberto)

  • Royal baby in fantastic picture! (¡Una fotografía fantástica del bebé real!)

Además de los asuntos variados pero centrados en el tema del Bebé Real, los mensajes invitan a las víctimas a abrir la “imagen” adjunta aunque el archivo es un binario malicioso utilizado para contactar a la infraestructura de comando y control (C2) y bajar más cargas maliciosas:

Señuelo del Correo Electrónico: Archivo Adjunto Malicioso…

Si usted recibe algunas de las últimas noticias por correo electrónico o mensajes no solicitados respecto a eventos de actualidad, asegúrese de que el mensaje es legítimo antes de pulsar sobre los enlaces o descargar los archivos adjuntos. Es muy poco probable que las agencias de noticias serias envíen correo electrónico no solicitado, y por lo tanto cualquier mensaje que no se espera debe ser tratado con cuidado.

Por su propia naturaleza, los señuelos dependen de la curiosidad humana y de nuestra sed de información. Además de necesitar una solución de seguridad integrada que sea capaz de detectar y proteger contra estos señuelos que se pueden enviar por las redes sociales o por correo electrónico, los usuarios también necesitan educarse para tener cautela con los enlaces o los mensajes no solicitados y considerar visitar los sitios de noticias respetables directamente para consultar la información más reciente.

Redirigir
(Fase 3 de las 7 Etapas de las Amenazas Avanzadas )

Si los usuarios muerden el señuelo de ScribbleLIVE/CNN son llevados a sitios intermedios que redirigen a las víctimas a sitios que contienen un código de explotación en este caso el Blackhole Exploit Kit. Los sitios a los que se redirige, como siempre es el caso, son sitios legítimos que han sido comprometidos o que se les ha inyectado un código malicioso que está oculto y ofuscado para abusar de la reputación del sitio que se ha comprometido. El análisis en tiempo real de estos sitios en el momento de ir hacia ellos ofrece protección inmediata y rompe la cadena de forma efectiva antes de que una víctima sea redirigida a una explotación.

Kit de Explotación
(Fase 4 de las 7 Etapas de las Amenazas Avanzadas)

Otra cosa que vemos en estas campañas de noticias de actualidad y globales es el uso de kits de explotación comunes y accesibles como Blackhole, que permite que los cibercriminales desplieguen rápidamente su infraestructura de ataque y atrapen a tantas víctimas como sea posible. Una vez que se ha visitado el URL del kit de explotación la máquina de la víctima probablemente será analizada para detectar las vulnerabilidades que pueden ser explotadas para enviar cargas maliciosas. En este caso, así como se descarga malware como Zeus, que está diseñado para robar información financiera de las víctimas, el sitio utiliza un método de ingeniería social para hacer que la víctima instale una actualización falsa de Adobe Flash Player:

Kit de Explotación: Ingeniería social con una actualización falsa de Adobe Flash Player…

El análisis en tiempo real del contenido web y de las cargas maliciosas protege a los usuarios contra las amenazas conocidas y desconocidas.

Archivo Gotero
(Fase 5 de las 7 Etapas de las Amenazas Avanzadas)

Si la explotación tiene éxito se utilizan archivos gotero y/o de descarga para instalar cargas maliciosas adicionales en la máquina de la víctima. De las campañas descritas hasta ahora una depende de que la víctima muerda el anzuelo y después sea redirigida a un sitio de explotación desde el cual se entregaría ésta, mientras que la otra simplemente anexa un archivo malicioso directamente al señuelo inicial en el correo electrónico. Estos archivos a menudo están cifrados y empaquetados para impedir que las soluciones tradicionales basadas en firmas los detecten y por lo tanto requieren de soluciones avanzadas para reconocer el comportamiento malicioso como Websense ThreatScope™. Usando el archivo adjunto del correo como ejemplo, el Reporte de Análisis ThreatScope™ ilustra muy bien cómo el archivo enviaba solicitudes a los servidores maliciosos y cómo escribía más archivos ejecutables en el sistema de archivos local.

Llamando a Casa
(Fase 6 de las 7 Etapas de las Amenazas Avanzadas)

Una vez que la máquina de una víctima tiene instalada una carga maliciosa tratará de “llamar a casa” y contactar a la infraestructura C2 para recibir órdenes de quienes están detrás de la campaña. La detección en tiempo real de las comunicaciones maliciosas salientes, en lugar de una amenaza detectada en su etapa inicial, puede evitar esa llamada a casa y prevenir que los atacantes logren sus objetivos.

Robo de Datos
(Fase 7 de las 7 Etapas de las Amenazas Avanzadas)

La exfiltración de datos – ya sea la información personalmente identificable (PII) de un individuo, los datos confidenciales de una compañía o incluso la lista de los probables nombres del bebé real – es el fin de los atacantes. Utilizar métodos como “sacar a cuenta gotas” lentamente los datos de una red comprometida o crear rutinas de encripción a la medida para permanecer ocultos, los atacantes intentan robar datos que pueden utilizarse para realizar más ataques o simplemente para obtener una ganancia. Pueden implementarse funcionalidades avanzadas de la pérdida o robo de datos como Drip DLP, el análisis de OCR y la detección de rutinas de codificación para mantener sus datos en el lugar al que pertenecen y lejos de las manos de los criminales cibernéticos.

Los clientes de Websense están protegidos por ACE, nuestro Advanced Classification Engine contra las amenazas cibernéticas de esta naturaleza en varias etapas a lo largo de la cadena. Mientras esperamos más anuncios oficiales sobre el Bebé Real, el equipo de Websense Security Labs™ está monitoreando los desarrollos y publicará actualizaciones si surgen más campañas.

Acerca de Websense, Inc.

Websense, Inc. (NASDAQ: WBSN) es el líder mundial en proteger a las organizaciones contra los ataques electrónicos más recientes y contra el robo de datos. Las soluciones completas de seguridad Websense TRITON unifican la seguridad web, la seguridad del correo electrónico, la seguridad móvil y la prevención contra la pérdida de los datos (DLP) al menor costo total de propiedad. Decenas de miles de empresas dependen de la inteligencia de seguridad de Websense TRITON para detener a las amenazas persistentes avanzadas, a los ataques dirigidos y al malware que está en constante evolución. Websense evita las brechas de datos, el robo de la propiedad intelectual y aplica el cumplimiento de la seguridad y las mejores prácticas. Una red global de socios de canal distribuye las soluciones Websense TRITON escalables y unificadas basadas en dispositivos o en la nube.

Websense TRITON detiene más amenazas. Visite www.websense.com/proveit para ver la demostración. Para tener acceso al conocimiento sobre seguridad más reciente de Websense y conectarse a través de los medios sociales, por favor visite www.social.websense.com. Para más información, visite www.websense.com/latam y www.websense.com/triton.

Post relacionados

  • Buscando una casa o apartamento

  • P1060578

Comparte tu comentario

  • Comentarios recientes
  • Entradas recientes