Métodos de propagación de malware

Aunque el malware se infiltra con mayor frecuencia en la infraestructura corporativa a través del correo electrónico, este no es el único método de infección.

La lógica nos dice que la forma más segura de prevenir un ciberincidente es evitar que el malware penetre en la infraestructura corporativa. Por lo tanto, al desarrollar una estrategia de seguridad de la información, los expertos suelen centrarse en los vectores de ataque más evidentes como el correo electrónico. De hecho, la mayoría de los ataques comienzan con un correo electrónico, pero no hay que olvidar que los ciberdelincuentes guardan bajo la manga muchos otros métodos para introducir malware. Los expertos del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) nos hablan sobre otros métodos poco comunes utilizados para infectar y propagar malware con los que se han encontrado al analizar amenazas recientes.

Typosquatting para falsificar una herramienta

Los creadores del malware denominado AdvancedIPSpyware decidieron incrustar su código en la herramienta Advanced IP Scanner para administradores de sistemas. Crearon dos páginas web con el mismo diseño exacto al original, además de nombres de dominio que tan solo se diferenciaban en una letra. Es decir, contaban con que la víctima buscara una herramienta de monitorización de red local y descargara el programa con una puerta trasera desde un sitio falso. Lo curioso es que la versión maliciosa de Advanced IP Scanner se firmó con un certificado digital legítimo que parece haber sido robado.

Enlaces en la descripción de los vídeos de YouTube

Los operadores de OnionPoison intentaron hacer algo similar: crearon su propia versión maliciosa del navegador Tor (solo que sin firma digital). Pero, para distribuir su navegador falso, incluyeron, en un popular canal de YouTube sobre el anonimato online, un enlace en la descripción de un vídeo con instrucciones para instalar Tor. La versión infectada no se pudo actualizar y contenía una puerta trasera para descargar una biblioteca maliciosa adicional. Esto, a su vez, permitió a los atacantes ejecutar comandos arbitrarios en el sistema, además de obtener el historial del navegador y las credenciales de usuario de las cuentas de WeChat y QQ.

Malware que se propaga a través de torrents

Los creadores de CLoader ocultaron sus instaladores de malware bajo la apariencia de juegos pirateados y software útil. Este método suele estar más dirigido a los usuarios domésticos, pero, últimamente, con el auge del trabajo en remoto con el que se desdibuja el perímetro corporativo, los torrents maliciosos también pueden representar una amenaza para los ordenadores de trabajo. Las víctimas que intentaron descargar software pirateado a través de torrents, en lugar de este, terminaron con malware capaz de ejecutarse como un servidor proxy en el dispositivo infectado e instalar malware adicional u otorgar acceso remoto no autorizado al sistema.

Movimiento lateral mediante herramientas legítimas

Las últimas versiones del ransomware BlackBasta pueden propagarse a través de una red local usando ciertas tecnologías de Microsoft. Tras infectar un solo ordenador, el ransomware puede conectarse a Active Directory a través de la biblioteca LDAP, obtener una lista de los ordenadores de la red local, copiar el malware en ellos y ejecutarlo de forma remota utilizando el Modelo de objetos de componentes (COM). Este método deja menos rastro en el sistema y dificulta su detección.

Cómo mantenerse a salvo

Estos ejemplos muestran que la infraestructura corporativa necesita una protección integral. Está claro que una solución que escanea todos los correos electrónicos entrantes en busca de enlaces maliciosos de phishing y archivos adjuntos probablemente te protegerá contra la mayoría de los ataques. Sin embargo, hay que tener en cuenta que cualquier ordenador con acceso a Internet debe contar también con su propia protección antimalware. Y, para comprender mejor lo que sucede en tu red corporativa, también es recomendable implementar soluciones EDR.

Consejos