El ciclo de un ataque de malware

En repetidas ocasiones compartimos con ustedes reportes acerca de ataques informáticos a través de correos electrónicos, redes sociales o páginas maliciosos, enfocando el análisis en alguna etapa puntual o técnica utilizada. En esta oportunidad vamos a intentar enumerar las diferentes etapas que un ciber criminal realiza con el objetivo de obtener algún beneficio. En la región, los ataques más habituales se enfocan en el robo de credenciales bancarias o información personal del usuario como claves de correos y redes sociales. A continuación describiremos algunas de las principales etapas, desde el inicio de un ataque hasta el robo de información.

Cuando se intenta detallar un ataque informático para comprender su funcionamiento, es importante diferenciar cada una de las distintas etapas que lo componen. Al investigar una amenaza es importante identificar las técnicas utilizadas en el desarrollo, propagación y recopilación de información con el objetivo de analizar y proteger a los usuarios. En el siguiente gráfico se ven las etapas del ciclo:

La primera etapa dentro del ciclo de un ataque informático es el análisis de qué es lo que se quiere hacer, en esta instancia un ciber criminal diagrama cuál es la información que quiere obtener y si el mismo es viable o no. Una vez que decide si va a continuar con el ataque o no, procede a desarrollar el código malicioso u obtener un crimepack por el cuál debe pagar una suma de dinero (algunos ejemplos son Zeus y SpyEye), que le permitan montar su plataforma para realizar los ataques, otra de las opciones es que le paguen a un botmaster para que instale su malware en la red de computadoras zombis que administra.

Como mencionamos anteriormente, en Latinoamérica es común encontrarnos con ataques de pharming local que modifican el archivo host del sistema para redirigir a la víctima a páginas falsas en dónde caen en la trampa de la Ingeniería Social e ingresan sus credenciales en sitios de aspecto similar a los originales, pero alojados en servidores vulnerados o pertenecientes al atacante. Otra de la técnicas más comunes son los ataques de phishing a través de correos falsos, si bien no se suelen utilizar códigos maliciosos para este fin, muchos usuarios ingresan a sitios maliciosos al no reconocer que el correo no es verídico.

Una vez que la etapa de desarrollo ha finalizado el siguiente paso es la campaña de propagación de la amenaza. En este momento, el atacante define cuál va a ser la metodología utilizada para viralizar su ataque y llegar a la mayor cantidad de víctimas posible. Entre los métodos más conocidos se encuentra el envió masivo de correos electrónicos, la publicación de noticias en las redes sociales, infecciones a través de dispositivos USB o a través de una página web con contenido malicioso.

Desde una cuenta falsa de correo se envía a una serie de usuarios un mensaje con un contenido X, aquellos usuarios que accedan al correo y caigan en el engaño, pueden comprometer su sistema si no cuentan con una solución de seguridad o acceder a un sitio falso en dónde deberán ingresar sus credenciales, en caso de que se trate de un phishing. Sea cual sea el ataque, en una primera instancia se envia a una cantidad de posibles víctimas, suponiendo una etapa inicial de 100 cuentas de correo a las que se envía el ataque. Con que solo el 5% caiga en el engaño el usuario y contraseña de esas personas quedan en manos del atacante, luego puede utilizar dichas cuentas para volver a enviar la información a los contactos, durante una nueva campaña de propagación.

Una vez que se ha liberado el ataque y la propagación del mismo a tantos usuarios como se aposible, el atacante comienza a recopilar la información que para luego volver a realizar campaña o vender los datos que ha robado de los usuarios infectados en el mercado negro. Según el último informe de LACNIC para Latinoamérica, los datos de una tarjeta de crédito se venden en el mercado negro en un promedio de 0,98 centavos de dólar cada una. Durante esta etapa de recopilación de información, el atacante almacena entre otras cosas:

  • Credenciales de acceso a cuentas de bancos
  • Credenciales de acceso a cuentas de correos
  • Credenciales de acceso a las redes sociales (Facebook, Twitter, etc)
  • Información personal del usuario

Sin importar para qué plataforma es desarrollado el ataque, estas 5 etapas (Análisis, Desarrollo, Propagación, Infección de los sistemas y Recopilación de información) se vuelven parte de un proceso cíclico ejecutado una y otra vez por los atacantes con un único objetivo: vulnerar la seguridad del usuario o sus sistemas para obtener información que luego utilizan para su beneficio.

Actualmente desde el Laboratorio de ESET Latinoamérica estamos analizando los vectores de ataques utilizados en la región para el análisis y la investigación de estas tendencias. Para aquellos usuarios que reciben un correo falso, o creen que están siendo víctimas de un ataque pueden reenviar los correos a simon@eset-la.com o reportar los archivos maliciosos a samples@eset-la.com.

Pablo Ramos
Especialista en Awarenes & Research

Autor , ESET

Síguenos