Los atacantes usan el sitio comprometido de forma oportunista para entregar spam masivo y malware a víctimas específicas. La víctima no se da cuenda de que se trata de un ataque.
Websense Security Labs informó sobre una táctica relacionada con la proliferación del ransomware Crypto. En los casos más recientes, los hackers decidieron usar el sofisticado kit de explotaciónAngler para aprovechar las vulnerabilidades del software.
Y si se le ofreciera la oportunidad de “convertir un dólar en cien dólares inmediatamente” o “invertir $1 dólar hoy y ganar $1000 dólares mañana”, o si se le preguntara “¿Necesita dinero ahora?” ¿Eso despertaría su interés? Por supuesto que los atacantes esperaban que las víctimas polacas a las que estaban dirigiéndose específicamente cayeran en la tentación.
En un principio, se identificó esta variante cuando se monitorearon las campañas de correo electrónico que alentaban a los destinatarios a dar clic en los URLs hospedados en páginas comprometidas. Los spammers utilizan URLs de sitios comprometidos para asegurar un índice de clics más alto en sus mensajes. Los sitios comprometidos resultan menos sospechosos para una víctima perspicaz que los sitios que se han registrado recientemente. Pero, los atacantes están haciendo que los sitios comprometidos distribuyan spam en la mayoría de los casos, cuando una víctima llega al sitio comprometido es redirigida al malware, que es Teslacryptel y se entrega a través del kit de explotación Angler.
Los expertos en seguridad indican que al emular el URL señuelo en el Websense File Sandbox, pudieron seguir la cadena de infección desde el señuelo de correo electrónico a través del kit de explotación Angler hasta la eventual ejecución de Teslacrypt en el sistema.
El hacker puede beneficiarse de tres maneras al utilizar el kit de explotación Angler:
- Angler es capaz de infectar con “un clic”. Las víctimas tienen bajas posibilidades de darse cuenta de que lo que se les está pidiendo hacer no es legítimo.
- Angler hace una entrega “sin archivos”. La aplicación sospechosa nunca se graba en el disco duro de la víctima, lo que reduce las posibilidades de que el software antivirus (AV) la detecte. Se ha demostrado que Angler identifica el antivirus antes de decidir si grabar el malware en el sistema o almacenarlo en la memoria.
- Angler permite entregar malware cifrado. El malware que se descarga no luce como un ejecutable. Esto disminuye la posibilidad de detectarlo a nivel de la red.