Los hackers usan Slack para ocultar las comunicaciones de su malware

Los hackers usan Slack para ocultar las comunicaciones de su malware

Un grupo de hackers está utilizando un programa que contiene una puerta trasera sin documentar previamente diseñado para interactuar con los atacantes usando Slack. Aunque abusar de los servicios legítimos con fines de crear un servidor de comando y control para el malware no es nada nuevo, esta es la primera vez que los investigadores ven usar a Slack, una popular herramienta de colaboración empresarial, para este fin.

La puerta trasera fue detectada por la firma de seguridad Trend Micro en un ataque dirigido desde el sitio web comprometido de una organización llamada Consejo Coordinador Nacional Coreano-Americano que publica artículos relacionados con la política de Corea del Norte y del Sur.

Actualmente no está claro si las víctimas fueron dirigidas al sitio web a través de una campaña de correo electrónico o si los atacantes simplemente esperaron a los visitantes regulares, pero el sitio se modificó para albergar una vulnerabilidad de ejecución remota de código en el motor de Windows VBScript.

Esa vulnerabilidad se rastrea como CVE-2018-8174 y puede ser explotada a través de Internet Explorer. Sin embargo, está vulnerabilidad fue parcheada por Microsoft en mayo del 2018, por lo que tener un sistema operativo actualizado hubiera prevenido este ataque.

En los casos en que el exploit se ejecutó con éxito, desencadenó una cadena de infección de múltiples etapas que primero implicaba descargar y ejecutar un archivo DLL malicioso a través de PowerShell. Esta primera carga útil analizó la presencia de ciertos programas antivirus antes de decidir si descargar e instalar un nuevo programa de puerta trasera que Trend Micro ha denominado SLUB (para Slack y GitHub, que los atacantes usan como repositorio).

"Nuestra investigación nos hace creer con confianza en que fue parte de una posible campaña de ataque dirigido", dijeron los investigadores de Trend Micro en su informe.

"Hasta ahora, no hemos podido encontrar ataques relacionados y no hemos detectado la puerta trasera personalizada en ningún otro lugar. Hemos estado buscando muestras similares y no hemos encontrado ninguna hasta ahora, lo que es una clara indicación de que los atacantes desarrollaron el malware o contrataron a un desarrollador privado que no lo ha filtrado la herramienta públicamente".

El programa de puerta trasera se utilizó para recopilar información sobre las víctimas y su actividad de Twitter, Skype, KakaoTalk y de su correo electrónico, pero sus características también incluyen la capacidad de enumerar y finalizar procesos, ejecutar comandos y archivos maliciosos, tomar capturas de pantalla, listas y filtrar los archivos, leer y añadir claves al registro del sistema y recopile información sobre las unidades de almacenamiento y los volúmenes, incluso si están encriptados o no.

El aspecto más interesante del malware sigue siendo el uso de servicios populares para comunicarse con los atacantes. La puerta trasera se conecta a un repositorio de GitHub para descargar comandos y luego se conecta a un espacio de trabajo privado Slack configurado por los atacantes para publicar la salida de esos comandos, junto con el nombre de la computadora desde donde se recolectó la salida. Finalmente, el malware carga cualquier archivo robado al servicio de almacenamiento en la nube file.io.

Los atacantes usan Slack y GitHub para evitar la detección

La razón por la que los atacantes usaron solo servicios legítimos para montar el servidor de comando y control es probablemente para evadir la detección de tráfico potencialmente sospechoso a nivel de red.

Los servicios de los que más abusan los cibercriminales son Slack y GitHub que son muy utilizados comúnmente por las empresas y otros tipos de organizaciones que probable incluyan estás direcciones en la lista blanca de los firewalls.

A falta de soluciones que puedan descifrar el tráfico a nivel de red, las organizaciones no tienen en cuenta el contenido de las comunicaciones HTTPS, dijeron los investigadores de Trend Micro por correo electrónico.

"Ese es el protocolo que hace su trabajo. Si bien esto es bueno para proteger, por ejemplo, las transacciones bancarias, en un entorno empresarial puede plantear problemas".

Slack ha sido notificado y deshabilitado el espacio de trabajo configurado por los atacantes por violar los términos de servicio de la compañía. Sin embargo, este probablemente no será el último ataque donde los hackers decidan abusar de la API y servicios de Slack.

Fuente: TrendMicro

Read more