Esas son las cinco palabras que nadie quiere ver aparecer en su pantalla. Los investigadores de Websense Security Labs publicaron en el blog de la compañía un informe que describe una táctica de identificación eficiente para este tipo de ataque que comúnmente se conoce como ransomware Crypto.
Uno de los ejemplos más conocidos es aquel que se aprovecha de la vulnerabilidad muy humana relativa al temor a recibir una multa de tránsito. En los casos más recientes, los atacantes decidieron utilizar el sofisticado kit de explotación Angler con el fin de aprovechar las vulnerabilidades del software. Y si se le ofreciera la oportunidad de convertir un dólar en cien dólares inmediatamente” o “Invertir $1 dólar hoy y ganar $1000 dólares mañana”, o si se le preguntara “¿Necesita dinero ahora?” ¿Eso despertaría su interés? Por supuesto que los atacantes esperaban que las víctimas a las que estaban dirigiéndose específicamente cayeran en la tentación.
En un principio se identificó esta variante cuando se monitorearon las campañas de correo electrónico que alentaban a los destinatarios a dar clic en los URLs hospedados en páginas comprometidas. Los spammers utilizan URLs de sitios comprometidos para asegurar un índice de clics más alto en sus mensajes. Los sitios comprometidos resultan mucho menos sospechosos para una víctima perspicaz que los sitios que se han registrado recientemente. Lo que es interesante es que los atacantes están haciendo que los sitios comprometidos entreguen spam en la mayoría de los casos, pero cuando una víctima potencial llega al sitio comprometido es redirigida al malware. En este caso, el malware es Teslacrypt el cual se entrega a través del kit de explotación Angler. Cabe señalar que también se ha entregado Teslacrypt a través de varios otros kits en el pasado.
Al emular la URL señuelo en el Websense File Sandbox, pudimos seguir la cadena de infección desde el señuelo de correo electrónico a través del kit de explotación Angler, hasta la eventual ejecución de Teslacrypt en el sistema. El atacante trató de ser lo más sigiloso posible para evadir la detección en varias etapas de la cadena de ataque.
El atacante puede beneficiarse de tres maneras al utilizar el kit de explotación Angler:
- Es capaz de infectar con “un clic”. Las víctimas tienen posibilidades considerablemente bajas de darse cuenta de que lo que se les está pidiendo hacer no es legítimo.
- Hace una entrega “sin archivos”. La aplicación sospechosa nunca se graba en el disco duro de la víctima, reduciendo considerablemente así la posibilidad de que el software antivirus (AV) la detecte. Se ha demostrado que Angler identifica el antivirus antes de decidir si grabar el malware en el sistema o almacenarlo en la memoria.
- Permite entregar malware cifrado. El malware que se descarga no luce como un ejecutable. Esto disminuye la posibilidad de detectarlo a nivel de la red.
Los clientes de Websense están protegidos desde la entrega inicial a través del correo electrónico con TRITON AP-EMAIL. Si los usuarios reciben contenido malicioso, se ofrecerá protección vía ACE, el Websense Advanced Classification Engine, en las diferentes etapas de la cadena de ataque como se detalla a continuación:
- Etapa 2 (Señuelo): ACE cuenta con protección contra la entrega de correo electrónico malicioso y los sitios web a los que se les ha inyectado contenido malicioso que lleva al contenido del kit de explotación
- Etapa 3 (Redireccionamiento): ACE cuenta con protección contra los redireccionamientos que se sabe están asociados a Angler
- Etapa 4 (Kit de Explotación): ACE cuenta con protección contra el kit de explotación Angler
- Etapa 5 (Dropper): El sandboxing de archivos de ACE identifica los binarios maliciosos asociados a Angler y TeslaCrypt
- Etapa 6 (Call Home): ACE cuenta con detección para el tráfico de comando y control que se sabe está asociado a TeslaCrypt
En el caso del señuelo de correo electrónico, los atacantes inyectaron código en los sitios comprometidos y enviaron los enlaces a este contenido a través de mensajes. Los investigadores de Websense pudieron crear una estructura analítica para seguir este código inyectado en las miles de millones de piezas de tráfico web analizadas por su producto todos los días. A partir de esto, pudimos identificar que los atacantes utilizaron el sitio comprometido de forma oportunista para entregar spam a las masas y malware a víctimas específicas. En este caso, el código se inyectó en varios sitios populares. Dado el reciente incremento de las infecciones de TeslaCrypt y el hecho de que se sabe que Angler ha estado involucrado en varios incidentes de alto perfil, hay razones para creer que los atacantes hicieron todo lo posible por infectar a tantos usuarios como pudieron de manera oportunista. Este modo de infección de cero clics o drive-by le da a la víctima una oportunidad remota de tomar las decisiones correctas para evitar la infección. Se requiere de una defensa a profundidad en varias etapas de esta cadena de ataques para lidiar con amenazas complejas como esta.
Compartir nota:
