jueves, 8 de junio de 2017

Usan la cuenta de Instagram de Britney Spears para ocultar malware

Turla, un grupo de hackers de habla rusa especializado en el espionaje de gobiernos, funcionarios gubernamentales y diplomáticos de todo el mundo, ha utilizado comentarios publicados en la cuenta de Instagram de Britney Spears para lanzar ciberataques.

Según informa la firma de seguridad ESET en su blog oficial, los criminales están experimentando con un nuevo método inteligente que emplea las redes sociales para ocultar el malware destinado al espionaje. El equipo de expertos de la compañía ha detectado un comentario publicado en una foto de la cuenta de la cantante destinado a localizar el servidor de Comando y Control (C&C) que envía las instrucciones hacia los ordenadores infectados y los datos robados hacia el servidor.

Turla es conocido por su sofisticado software de espionaje. A mediados de 2014 lanzó el malware Wipbot que infectó equipos Windows de las embajadas y gobiernos de varios países europeos, y unos meses más tarde fue descubierto un sigiloso troyano de Linux que al parecer llevaba funcionando durante años. Una de sus últimas campañas fue detectada pasado mes de marzo, cuando los investigadores de Microsoft neutralizaron una serie de ataques que explotaban vulnerabilidades zero-day de Windows dirigidos a espiar a gobiernos y militares europeos.

Además, el grupo se caracteriza por cubrir sus pistas. Anteriormente ha utilizado conexiones a Internet por satélite para pasar desapercibido, y ahora está probando este nuevo método inteligente que emplea las redes sociales para que malware de ciberespionaje resulte completamente invisible. 


Según explica el informe de ESET, se trata de un ataque Watering Hole, que consiste en infectar los sitios web que visitan los objetivos con regularidad. Los operadores de Turla están interesados en infectar sitios web de embajadas, y para ello han desarrollado una extensión para Firefox que se disfraza de característica de seguridad, pero que en realidad proporciona los medios necesarios para que los atacantes tomen el control del equipo infectado.

Instagram Britney Spears

"La extensión utiliza una URL bit.ly para llegar a su servidor de C&C, pero la ruta a la URL no figura en ninguna parte de su código", explica ESET. "De hecho, para obtener la ruta utiliza los comentarios que aparecen en una publicación específica de Instagram. El comentario utilizado en la muestra analizada era sobre una fotografía publicada en la cuenta oficial de Instagram de Britney Spears".

Para evitar ser una víctima de este tipo de ataques, los expertos en seguridad cibernética recomiendan instalar únicamente extensiones fiables en los navegadores, así como mantener actualizados tanto los programas como el sistema operativo.