La APT Holy Water: los peligros del agua bendita

Los atacantes están infectando los ordenadores de los usuarios con una puerta trasera que se hace pasar por una actualización de Adobe Flash Player.

A finales del 2019, nuestros expertos utilizaron la técnica de abrevadero para descubrir un ataque dirigido. Sin desplegar ningún truco sofisticado ni explotar ninguna vulnerabilidad, los atacantes infectaron los dispositivos de los usuarios en Asia durante un período de al menos ocho meses. Basándose en el tema de los sitios web utilizados para difundir el malware, el ataque fue bautizado como Holy Water, agua bendita en español. Este es el segundo ataque que hemos descubierto con tales tácticas en los últimos meses (visita esta publicación para conocer el otro hallazgo de nuestros investigadores).

¿Cómo infectaba Holy Water los dispositivos de los usuarios?

Parece que los atacantes conseguían comprometer en algún momento un servidor que aloja páginas web que pertenecen principalmente a figuras religiosas, organizaciones públicas y organizaciones benéficas. Los ciberdelincuentes incorporaban scripts maliciosos en el código de estas páginas, que luego se utilizaban para llevar a cabo los ataques.

Cuando los usuarios visitaban una página infectada, los scripts utilizaban herramientas legítimas para recopilar datos sobre ellos y enviarlos a un servidor de terceros para su validación. No sabemos cómo se seleccionaban las víctimas, pero sí que tenían en cuenta la información recibida: si el objetivo era prometedor, el servidor enviaba un comando para continuar con el ataque.

El siguiente paso implicaba un truco ahora estándar (en uso durante más de una década): solicitaban al usuario que actualizara Adobe Flash Player, supuestamente desactualizado, lo que podía suponer un riesgo para su seguridad. Si la víctima consentía, entonces, en lugar de la actualización prometida, la puerta trasera Godlike12 se descargaba e instalaba en el ordenador.

Los peligros de Godlike12

Los cerebros del ataque hacían uso activo de servicios legítimos, tanto para identificar a las víctimas como para almacenar el código malicioso (la puerta trasera estaba citada en GitHub). Se comunicaban con los servidores de mando y control a través de Google Drive.

La puerta trasera colocaba un identificador en el almacenamiento de Google Drive y realizaba llamadas de forma regular para comprobar los comandos de los atacantes. Los resultados de la ejecución de dichos comandos también se cargaban allí. Según nuestros expertos, el propósito del ataque era el reconocimiento y la recopilación de información de dispositivos comprometidos.

Si te interesa la información más técnica y las herramientas empleadas, no te quedes sin visitar la publicación de Securelist sobre Holy Water, que también recopila los indicadores de compromiso.

Cómo protegerte contra Holy Water

Hasta ahora, hemos visto a Holy Water solo en Asia. No obstante, las herramientas utilizadas en la campaña son bastante simples y pueden acabar implementándose en otros lugares fácilmente. Por lo tanto, recomendamos que todos los usuarios se tomen estas recomendaciones en serio, sea cual sea su ubicación.

No podemos confirmar que el ataque esté dirigido contra ciertas personas u organizaciones. Pero una cosa es cierta: cualquiera puede visitar los sitios infectados desde dispositivos domésticos y laborales. Por lo tanto, nuestro consejo principal es que protejas cualquier dispositivo con acceso a Internet. Nosotros ofrecemos soluciones de seguridad tanto para ordenadores personales, como para corporativos. Nuestros productos detectan y bloquean todas las herramientas y técnicas que utilizan los creadores de Holy Water.

Consejos