Blog de WatchGuard

Ataques Watering Hole vs protección avanzada en el endpoint

En un ataque de Watering Hole, por lo general, el atacante debe seguir una serie de pasos. En primer lugar, tiene que investigar su objetivo y asegurarse de conocer el tipo de sitio web que frecuenta. Luego, busca infectarlo con un código malicioso para que, en el momento que su víctima lo visite, el sitio web explote una vulnerabilidad en su navegador o lo lleve a descargar un archivo que consiga comprometer su dispositivo.

En definitiva, este tipo de ataque está diseñado para dirigirse a los empleados de un sector o un grupo de usuarios específico y se sirve de los sitios web que suelen visitar para atraerlos a una trampa que sirva como acceso a la red corporativa de una empresa. El robo de datos, las pérdidas financieras y el daño a la reputación de una empresa suelen ser las principales consecuencias de los ataques de Watering Hole.

Si bien es muy parecido a los ataques a la cadena de suministro, no son exactamente lo mismo. En ambos casos el atacante compromete un servicio de terceros para infectar otros sistemas. Sin embargo, en los ataques a la cadena de suministro suele comprometerse un producto que es comprado, o un servicio que es utilizado por el objetivo;  en lugar de los sitios web neutrales infectados durante un ataque de Watering Hole. Es decir, un ataque a la cadena de suministro distribuye malware a través del elemento “más débil” de la red de una organización, como un proveedor, vendedor o socio.

Algunos ejemplos de ataques de Watering Hole en 2022

  • Nitrokod y el falso Google Translate para escritorio: a finales de julio de 2022 fue detectada una campaña de malware de minería de criptomonedas que infectó máquinas en 11 países. El actor de la amenaza era un desarrollador de software llamado Nitrokod, que ofrece versiones gratuitas de aplicaciones de software populares que no tienen una versión oficial de escritorio. Su versión de la utilidad de traducción, creada utilizando las páginas web oficiales de Google Translate y un marco basado en Chromium, era su oferta más popular y estaba disponible en sitios web de software libre, además de estar posicionado entre los primeros lugares de los resultados de búsqueda de "Google Translate desktop download". Desafortunadamente, las aplicaciones estaban troyanizadas y, una vez instalado el software en el dispositivo, el proceso de infección permanecía inactivo durante semanas para pasar desapercibido. Tras el intervalo de letargo, se iniciaba el proceso de infección y la víctima recibía un archivo actualizado que, en el transcurso de unos días, cargaba una serie de cuatro droppers en el dispositivo. El último dropper desplegaba el criptominero XMRig centrado en Monero y lo ejecutaba. Mientras esto sucedía, Google Translate continuaba funcionando correctamente, sin ofrecer señales de alarma para el análisis. Esta metodología permitió a la campaña operar con éxito bajo el radar durante años.
  • Malware SolarMarker: en septiembre de 2022 el grupo SolarMarker comprometió un sitio web vulnerable gestionado por WordPress para incitar a sus víctimas a descargar falsas actualizaciones del navegador Chrome. Esta campaña tenía como objetivo una organización global de consultoría fiscal con presencia en EE. UU, Canadá, Reino Unido y Europa. En este caso, la víctima fue un empleado de la compañía que buscaba equipos médicos de un fabricante específico por su nombre en Google. Una vez que el empleado ingresó al sitio web comprometido, se le solicitó la descarga de una actualización del navegador web Chrome. El empleado entonces descargó y ejecutó SolarMarker, que estaba camuflado como una actualización falsa. La falsa actualización se basaba en el navegador que estaba utilizando la víctima al momento de ingresar a la web infectada. De modo que, si el usuario hubiese estado utilizado algún otro, habría recibido un falso Firefox o Edge.
  • Malware SocGholish en sitios web de noticias de EE. UU: en noviembre de 2022 un grupo criminal comprometió a una empresa proveedora de contenidos que se encarga de proporcionar tanto contenido de vídeo como publicidad a los principales medios de comunicación de los EE. UU con la finalidad de desplegar malware en sus sitios web. Durante esta campaña se vieron afectados 250 portales web de periódicos nacionales y regionales del país. El malware, llamado SocGholish, y que fue visto por primera vez en el 2018, fue inyectado en un archivo JavaScript benigno que se cargaba en los sitios web de los medios de comunicación y que solicitaba a los visitantes la descarga de una falsa actualización de su navegador. Al igual que en el caso anterior, el malware adoptaba la forma del navegador utilizado por el usuario. Una vez que los atacantes tenían el acceso inicial a las redes, éste podría ser utilizado como una vía para desplegar ransomware, algo para lo que ha sido utilizado en el pasado.

Protección en el endpoint: la defensa fundamental ante un ataque de Watering Hole

Los ataques de Watering Hole tienen un porcentaje elevado de éxito, ya que comprometen sitios web legítimos y confiables para lo usuarios, por lo que incluso los empleados más informados y cuidadosos pueden caer en la trampa. Es por esto que es necesario contar con una solución de protección en el endpoint que ofrezca supervisión continua y que impida la ejecución de procesos desconocidos. Sin embargo, teniendo en cuenta que cuando nos enfrentamos a un ataque de este estilo las aplicaciones pueden pasar como legítimas, la tecnología que se utilice para defenderse debe proteger a los usuarios contra amenazas avanzadas, amenazas avanzadas persistentes (ATP), malware de día cero, ransomware, entre otras amenazas sofisticadas. En este sentido, el uso de la IA y la automatización son beneficiosas al momento de realizar acciones de prevención, detección, contención y respuesta. Además, el análisis de comportamiento es ideal para detectar si hay algún actor malicioso dentro de la red. La suma de estas funciones son las que pueden lograr una seguridad definitiva capaz de hacer frente a un ataque de Watering Hole.

Es fundamental adoptar la postura Zero-Trust, idealmente con servicios gestionados, que sean capaces de clasificar el 100% de las aplicaciones como malware o como aplicaciones de confianza, supervisando la actividad de cada aplicación en el endpoint, independientemente de su naturaleza. Un enfoque Zero-Trust puede evitar las ejecuciones de amenazas sofisticadas, como los ataques a la cadena de suministro y ataques de Watering Hole. Esto es posible, dado que observa los comportamientos anómalos de software en apariencia legítimo y reclasifica las aplicaciones en el momento que estas realizan actividades típicas de los atacantes. No cabe duda de que los atacantes utilizan tácticas cada vez más complejas y difíciles de detectar, pero con la protección adecuada, el uso de la IA y con un enfoque Zero-Trust, es posible hacerles frente y mantener las redes corporativas seguras.

 

Comparte esto: