Los ciberespías de Turla usan las redes sociales para contactar con mandos y control
ESET ha descubierto que el grupo de ciberespionaje Turla ha desarrollado un ataque de tipo abrevadero que se apoya en una extensión maliciosa de Firefox para infectar a los usuarios.
Los ataques de tipo abrevadero se dedican a comprometer páginas web legítimas para redirigir a las víctimas a una estructura de mando y control. A través de la monitorización de campañas recientes, ESET ha descubierto la utilización de una extensión maliciosa de Firefox que usaba una URL acortada en bit.ly para alcanzar el mando y control. Pero lo más complejo del ataque es ver que la URL no aparecía en la propia extensión de Firefox, sino que se obtenía revisando comentarios publicados en cuentas populares de Instagram, como la de Britney Spears.
La extensión se encarga de buscar y calcular el valor hash personalizado obtenido de los comentarios de las fotografías presentes en Instagram. Si este coincide con el valor 183, ejecuta la expresión regular que permite obtener la URL bit.ly.
Los encargados de Turla están ejecutando estas operaciones para que sus centros de mando y control entren en acción. Lo que más complica la tarea a los expertos en ciberseguridad es el hecho de que este ataque tipo abrevadero se esté apoyando en cuentas legítimas en las redes sociales para llevar a cabo sus acciones maliciosas. Esta situación vuelve difícil distinguir el tráfico malicioso del legítimo. Además, el uso de comentarios en las redes sociales da a los atacantes la posibilidad de reaccionar de forma rápida y fácil, pudiendo modificarlos o borrarlos.
Para evitar caer en esta campaña se recomienda estar pendiente de dos cosas:
- Tener todo el software actualizado, con especial mención a los navegadores (sobre todo Firefox) y al sistema operativo.
- No descargar complementos de fuera de la tienda oficial, y en caso de instalar desde un sitio de terceros, asegurarse de que sea un complemento conocido y que sea obtenido desde la fuente oficial.
Deja tu comentario