Video: Thomas Suarez: un desarrollador de aplicaciones de 12 años. (Noviembre 2024)
Las campañas de "abrevadero" son más visibles últimamente, con investigadores que identifican nuevos incidentes casi todos los días. El ataque que comprometió a varias computadoras en Facebook, Twitter, Apple y Microsoft el mes pasado parece haber impactado también a más compañías.
Facebook reveló el mes pasado que algunos de sus desarrolladores habían sido infectados con un troyano Mac después de visitar un foro de desarrolladores móviles pirateado. En ese momento, la compañía indicó que muchas otras compañías también habían sido afectadas. Parece que los atacantes infectaron a los empleados en "una amplia gama de empresas objetivo, en todas las industrias", encontró The Security Ledger a principios de esta semana. Según el informe, la lista de organizaciones afectadas incluía importantes fabricantes de automóviles, agencias del gobierno de los EE. UU. E "incluso un fabricante líder de dulces".
"La variedad de tipos de servicios y entidades objetivo no refleja un ataque dirigido a un solo sector tecnológico o industrial", dijo a The Security Ledger Joe Sullivan, jefe de seguridad de Facebook.
¿Qué es un abrevadero?
Los atacantes parecen haber secuestrado otros dos sitios de desarrollo de aplicaciones móviles, uno dedicado a los desarrolladores de Android, además del foro de desarrolladores de iPhone que hizo tropezar a los desarrolladores de Facebook, informó The Security Ledger . Otros sitios web, no solo desarrolladores de aplicaciones móviles u otros tipos de desarrollo de software, también se utilizaron en esta amplia campaña, según fuentes familiarizadas con la investigación.
En un ataque a un pozo de agua, los atacantes comprometen y manipulan un sitio web para enviar malware a los visitantes del sitio. Sin embargo, las motivaciones de los atacantes en este tipo de ataque son diferentes a las de los sitios de piratería como una forma de protesta o intento de robo de información o dinero. En cambio, estos atacantes se están aprovechando de sitios y aplicaciones inseguros para apuntar a la clase de usuarios que probablemente visiten ese sitio en particular. En el caso del sitio del Consejo de Relaciones Exteriores en diciembre, los atacantes probablemente buscaban problemas políticos y otros que se ocupaban de la política exterior. Es probable que los desarrolladores móviles visiten un foro de desarrolladores, y la lista continúa.
¿Ataque pirateado o de riego?
Las operaciones de abrevaderos parecen ser ataques del día , con nuevos informes de sitios comprometidos todos los días. Websense Security Labs descubrió ayer que los sitios web relacionados con el gobierno israelí ict.org.il y herzliyaconference.org habían sido pirateados para servir un exploit de Internet Explorer. El ataque descargó un archivo de cuentagotas de Windows y abrió una puerta trasera persistente para comunicarse con el servidor de comando y control, dijo Websense. Labs estimó que los usuarios estaban siendo infectados ya el 23 de enero.
La compañía encontró pistas que insinuaban que el mismo grupo "Elderwood" detrás del ataque del Consejo de Relaciones Exteriores también estaba detrás de esta campaña.
Se descubrió que el National Journal, una publicación para expertos políticos en Washington, DC, estaba sirviendo variantes del rootkit ZeroAccess y antivirus falso esta semana, encontraron investigadores de Invincea. El momento del ataque es un poco sorprendente, porque la revista había encontrado malware en su sitio en febrero y acababa de asegurar el sitio y limpiarlo. El último ataque utilizó dos vulnerabilidades conocidas de Java y dirigió a los visitantes a un sitio que aloja el kit de exploits Fiesta / NeoSploit.
¿Por qué están ocurriendo estos ataques?
Los desarrolladores son "objetivos generalmente blandos", ya que tienen un amplio acceso a recursos internos y, a menudo, tienen derechos de administrador (o privilegios elevados) en sus propias computadoras, según Rich Mogull, analista y CEO de Securosis. Los desarrolladores pasan mucho tiempo en varios sitios de desarrolladores y pueden participar en las discusiones del foro. Muchos de estos sitios de foros no tienen la mejor seguridad y son vulnerables a compromisos.
Independientemente de si el atacante está lanzando un ataque selectivo o si sigue confiando en una campaña generalizada para atraer a la mayor cantidad de víctimas posible, los delincuentes "persiguen al empleado si desea acceder a la empresa", escribió Anup Ghosh, CEO y fundador de Invincea..
Aunque los atacantes pueden haber estado lanzando una amplia red y no apuntando específicamente a un tipo de usuario, los delincuentes eligieron esos sitios por una razón. Los sitios gubernamentales, las publicaciones y los foros de desarrolladores son sitios de alto tráfico, que brindan a los atacantes un amplio grupo de víctimas potenciales.
Una vez que los atacantes tienen una lista de víctimas, pueden identificar a las víctimas de alto valor y elaborar la próxima ronda de ataques, lo que puede implicar más ingeniería social o instruir al malware residente para que descargue malware adicional.
Desde el punto de vista del usuario, esto solo resalta la importancia de mantener sus herramientas de seguridad, software y sistema operativo actualizados con los últimos parches. Los atacantes no solo usan los días cero; muchos de los ataques en realidad se basan en vulnerabilidades antiguas y conocidas porque las personas simplemente no se actualizan regularmente. Si su trabajo requiere que acceda a sitios que usan Java, tenga un navegador dedicado para esos sitios y desactive Java en el navegador predeterminado para acceder al resto de la Web.
Ten cuidado allá afuera.
