Hay una estrella en ascenso en el mundo del malware, y parece haber elegido a una industria concreta como principal víctima: la hotelera. Este malware, altamente sofisticado, es conocido como HijackLoader, y lleva ya un tiempo comprometiendo los sistemas informáticos de cadenas hoteleras.
La empresa de ciberseguridad Alpine Security, ha difundido la existencia de una campaña —lanzada presuntamente por cibercriminales rusos durante el último mes—, en la que éstos se hacen pasar por clientes que buscan confirmar una reserva, pero están preocupados por alergias alimentarias y utilizan desde el simple e-mail a plataformas de reservas online como Booking para comunicarse con los hoteles.
Su modus operandi es sutil: solicitan información sobre las precauciones tomadas para las alergias alimentarias, y lo hacen compartiendo enlaces de Dropbox o Google Drive, aparentemente inofensivos por contener sólo documentos médicos relacionados con las citadas alergias.
"Hola, soy Beatrice. Esta es una lista de las alergias de mis hijas…"
Aquí, los atacantes no están haciendo otra cosa que explotar las vulnerabilidades humanas (en este caso, la empatía) al mencionar a familiares con problemas de salud… con el objetivo de evitar el escrutinio racional de los documentos adjuntos.
Documentos que realmente no hacen sino que ocultar un malware que busca infiltrarse en los sistemas de un hotel (o de toda una cadena hotelera).
El ataque, paso a paso
- El hacker realiza una reserva online y opta por la cancelación gratuita para minimizar el riesgo, lo que hace que se envíe un email de confirmación automatizado al ciberestafador.
- El hacker utiliza este email que acaba de recibir para responder con una pregunta sobre la reserva.
- Agrega un señuelo: un enlace a un servicio para compartir archivos, junto con una contraseña en texto plano, que se envía al soporte del servicio de reservas online o directamente al hotel.
- El personal del hotel abre el email y descarga el archivo utilizando el enlace proporcionado. El archivo descargado está cifrado, pero se descifra fácilmente con la contraseña proporcionada.
- Pero al descifrarlo, se extrae un archivo ejecutable con un nombre engañoso y un icono similar al de un fichero PDF, lo que facilita que el empleado haga doble clic en el ejecutable y, sin saberlo, inicie el malware.
HijackLoader, el sigiloso
HijackLoader es un malware modular que, una vez instalado en un sistema, capaz de cargar en el mismo múltiples familias adicionales de malware (normalmente de robo de datos), lo que lo convierte en extremadamente peligroso. Destaca también por el uso de técnicas avanzadas de ocultación, evasión y anti-análisis que le permiten operar sorteando la detección por parte de las soluciones de seguridad tradicionales.
Uno de los clientes de Alpine Security detectó que el proceso legítimo 'ftp.exe' había sido invocado desde un binario sospechoso recientemente creado, "my contraindications.exe", que estaba tratando de hacerse pasar por un binario legítimo de McAffe, y que incluso incorporaba un certificado de dicha compañía.
Análisis del archivo PNG malicioso
Dichas técnicas incluyen desde la inyección de binarios maliciosos en procesos legítimos hasta el uso de imágenes PNG alojadas en servicios legítimos, a partir de las cuales es capaz de extraer y descifrar datos que lo ayudan a acceder a nuevas 'cargas útiles' (es decir, a otros tipos de malware 'inyectables').
Vía | Gobierno de Andorra & Perception Point
Imagen | Basado en original de Bits Dream en Pixabay
En Genbeta | Cuidado con este email que suplanta a Booking informando de una reserva: quieren robarte tu correo electrónico
Ver 0 comentarios