La compañía de ciberseguridad, Kaspersky, descubrió recientemente una serie de ataques sofisticados donde los criminales utilizan plataformas digitales que consideramos seguras y legítimas, como GitHub, Quora y Microsoft Learn Challenge, con el objetivo de camuflar sus actividades maliciosas en lugares confiables para infiltrar redes corporativas sin levantar sospechas, así lo informó el portal It Sitio.
En el mundo de la ciberseguridad, los atacantes están siempre buscando nuevas formas de pasar desapercibidos, y esta nueva ciberamenaza es un ejemplo de ello.
La estrategia: el camuflaje perfecto
En lugar de recurrir a sitios web dudosos o correos masivos, estos atacantes se disfrazan usando plataformas populares para alojar el código malicioso que ejecutan sus ataques. Al ocultar su actividad en estos servicios, logran evadir las detecciones iniciales de seguridad y, una vez dentro del sistema, activan el framework de pentesting Cobalt Strike.
Este método les permite:
- Tomar el control de los equipos de las víctimas.
- Robar información confidencial.
- Mantenerse en las redes de las víctimas sin ser descubiertos por largo tiempo.
Los ataques, que comenzaron en la segunda mitad de 2024, han afectado principalmente a empresas medianas y grandes, especialmente en el sector de petróleo y gas, demostrando que esta nueva táctica es una amenaza real y vigente.
Cómo logran el engaño: el ataque de spear phishing
El punto de entrada de estos ataques es una técnica llamada spear phishing, la cual a diferencia del phishing tradicional, que se envía de forma masiva, el spear phishing está hecho a la medida para un individuo u organización específica.
Los correos falsos se disfrazaban como comunicaciones legítimas de grandes compañías estatales, simulando un interés en los productos o servicios de la empresa objetivo. El objetivo era que el destinatario abriera un archivo adjunto que parecía ser un documento PDF con requisitos de compra, pero que en realidad era un archivo comprimido con programas maliciosos.
Una vez que la víctima abre el archivo, los atacantes usan métodos como el secuestro de DLL y manipulan herramientas legítimas como Crash Reporting Send Utility para ejecutar el código malicioso. Este malware luego descarga más fragmentos de código, que estaban convenientemente escondidos en perfiles públicos de plataformas como Microsoft Learn Challenge.
Al activarse, el código ejecuta el beacon de Cobalt Strike, lo que da a los atacantes el control total sobre los sistemas comprometidos.
Recomendaciones para proteger a su empresa
Eduardo Chavarro, director del Grupo de Respuesta a Incidentes de Kaspersky, enfatiza que los delincuentes están usando técnicas cada vez más creativas para disfrazar herramientas conocidas. Por eso, las empresas deben adoptar medidas proactivas para protegerse.
1. Monitoreo constante de la infraestructura
No basta con instalar sistemas de seguridad. Es fundamental monitorear constantemente servidores, redes y equipos para detectar actividades inusuales. Esto permite identificar un ataque en sus primeras fases, antes de que cause daños significativos.
2. Soluciones de seguridad confiables
Es crucial contar con herramientas especializadas que detecten y bloqueen malware oculto. Un buen sistema de seguridad puede analizar los archivos adjuntos y detener la amenaza en tiempo real, impidiendo que llegue al usuario final.
3. Capacitación en ciberseguridad para empleados
Los empleados son, a menudo, la primera línea de defensa. Capacitarlos para que reconozcan señales de alerta (correos sospechosos, enlaces extraños, archivos inesperados) es tan importante como la tecnología misma. Un simple clic puede ser suficiente para comprometer toda la red corporativa.
4. Protección integral de dispositivos
Además del monitoreo, todos los equipos corporativos deben tener una protección avanzada que detecte y bloquee los intentos de ataque desde el principio.
