Sala de servidores de Internet

Superando al tristemente conocido kit Black Hole, con una serie de exploits incluyendo 0-days (exploits inéditos o para los que no hay aún remedio disponible) e incorporando una técnica novedosa llamada domain shadowing, considerada como el próximo paso para la evolución de la delincuencia en línea, Angler se aprovecha de la creación de subdominios para controlar nuestros equipos.

¿Qué es el domain shadowing?

Básicamente, consiste en el robo de los datos de acceso a un determinado dominio registrado de forma legítima para crear después una cantidad considerable de subdominios. De este modo, es posible crear miles de subdominios con un número no muy elevado de dominios. Los subdominios son utilizados como recurso para realizar ataques relámpago (hit-and-run) ya sea con el fin de redirigir a las víctimas hacia páginas web infectadas o instalarles programas que permitan controlar su equipo (payloads).

El investigador de seguridad Nick Biasini del equipo de inteligencia Cisco’s Talos analizó una reciente campaña de ataques protagonizada por Angler y comentó que continúa focalizada masivamente sobre vulnerabilidades de Adobe Flash Player y de Microsoft Silverlight, habiéndose disparado dramáticamente en los últimos tres meses. Según Biasini:

Lee también: TeslaCrypt ataca a los jugones donde más les duele: sus partidas

¿Cómo lo hacen los ciberdelincuentes?

Utilizando credenciales de registro comprometidas el domain shadowing es la técnica más eficaz y difícil de parar que los ciberdelincuentes han utilizado hasta la fecha. Las cuentas son escogidas al azar, por lo que no hay manera de adivinar los dominios que serán utilizados en un siguiente ataque. Además, el número de subdominios es muy elevado, tienen corta vida, y son elegidos al azar, sin patrones discernibles. Esto hace que aumente la dificultad para su bloqueo. Lo que también obstaculiza la investigación. Se hace cada vez más difícil obtener muestras activas de la página web de destino,  que está activa menos de una hora. Esto ayuda a aumentar el margen de ataque para los ciberdelincuentes ya que los investigadores tienen que multiplicar sus esfuerzos para recopilar y analizar las muestras.

En una reciente campaña, los ciberdelincuentes están aprovechando el hecho de que la mayoría de los propietarios de dominios no monitorean regularmente sus cuentas registradas, las cuales son comprometidas típicamente a través de ataques de phishing. Esto es aprovechado por los atacantes para crear un suministro interminable de subdominios que se utilizarán en futuras campañas. Una nueva técnica llamada Fast Flux permite a los piratas informáticos cambiar la dirección IP asociada a un dominio para evadir su detección mediante listas negras. A diferencia del Domain Shadowing que reemplaza o alterna los subdominios asociados a un único dominio o pequeño grupo de direcciones IP, Fast Flux alterna rápidamente una sola entrada de dominio o DNS a una gran lista de direcciones IP.

Vector o secuencia de ataque

Hay varios niveles de ataque, con distintos subdominios maliciosos que se crean para las diferentes etapas enumeradas a continuación:

  • A los usuarios se les ofrecen anuncios maliciosos en su navegador web.
  • El anuncio trampa redirige al usuario a un primer grupo de subdominios conocidos como "puerta".
  • El primer grupo es responsable de la redirección de las víctimas a una página de destino que aloja el exploit kit Angler sirviéndose de una vulnerabilidad de Adobe Flash Player o Microsoft Silverlight.
  • Esta página final es remplazada constantemente y de forma aleatoria por otra página , e incluso, esas páginas están activas durante unos pocos minutos.
Secuencia para utilizar la técnica domain shadowingSecuencia para utilizar la técnica domain shadowing

Con numerosas técnicas de evasión, exploits de día cero y alto nivel de sofisticación, el kit para la explotación de vulnerabilidades Angler se ha erigido como el kit de herramientas más formidable disponible en el mercado para los hackers.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?