Un tipo de ataque poco mencionado pero altamente eficaz parecen ser los de tipo "Watering Hole" o abrevaderos, donde los delincuentes insertan código malicioso en sitios legítimos a los que un usuario cualquiera puede acceder constantemente, por ejemplo el sitio de una universidad, entidad pública o gobierno.

Al ser un sitio "oficial", los usuarios confían plenamente y si de pronto al acceder a cierta sección del sitio son redirigidos a otro portal simplemente siguen el enlace a donde los lleve, cuyo resultado puede ser la solicitud de descarga de algún programa o malware, entrega de datos sensibles o robo de información de tarjetas de crédito.

Un caso interesante fue el del ataque a escala nacional con el malware "HyperBro".

Según los investigadores, el grupo inyectó código JavaScript malicioso en los sitios web oficiales del gobierno asociados con el centro de datos para llevar a cabo ataques de "Watering Holes".

El ataque contra el centro de datos eventualmente infectó el sistema objetivo con una pieza de malware llamada HyperBro, un troyano de acceso remoto (RAT) implementado para mantener la persistencia en el sistema objetivo y para la administración remota.

"Hubo rastros de HyperBro en el centro de datos infectado desde mediados de noviembre de 2017. Poco después, diferentes usuarios en el país comenzaron a ser redirigidos al dominio malicioso update.iaacstudio[.]com como resultado del ataque al 'abrevadero' en los sitios web del gobierno".

"Estos eventos sugieren que el centro de datos infectado con HyperBro y la campaña de 'watering hole' están conectados".

Como resultado del ataque, los sitios web gubernamentales comprometidos redirigieron a los visitantes del país a la suite de pruebas de penetración Browser Exploitation Framework (BeEF) que se centra en el navegador web, o al marco de reconocimiento ScanBox, que realiza las mismas tareas que un keylogger.

El servidor principal de comando y control (C&C) utilizado en este ataque está alojado en una dirección IP que pertenece a un ISP ucraniano, específicamente a un enrutador MikroTik que ejecuta una versión de firmware lanzada en marzo de 2016.

Si no se ve legítimo, mejor salir del sitio

Siempre que tengan una duda de "porque me redirigieron a este sitio", "porque me piden estos datos", lo mejor es pensar que probablemente la pagina esta comprometida, y por ende lo mejor sería reportar el problema en el sitio, o simplemente buscar alternativas.

Es mejor ser excesivamente precavido y no caer en la trampa.

Fuente: https://thehackernews.com/2018/06/chinese-watering-hole-attack.html
Photo by Dlanor S on Unsplash

Acerca del Autor

Alex Barrios

Cuenta con más de 15 años de experiencia en distintos campos de las tecnologías de información, ejerciendo principalmente como desarrollador fullstack, administrador de sistemas y asesor de seguridad informática certificado (OSCP, OSCE, OSWP, Hardware Security, Software Security, Usable Security).