Cuando el HTTPS trabaja para los criminales

0

Esquema que representa el funcionamiento de un ataque "drive by"Las webs de Internet se infectan al ritmo de cientos cada día, literalmente. Entre ellas se encuentran webs de varios tipos, desde blog personales con cuentas de WordPress infectadas durante ataques masivos hasta páginas web de centros de electrónica de consumo/outlets. En cada caso, los usuarios maliciosos infectan dichas webs tras una serie de pasos preparatorios. Todos estos recursos aumentan el arsenal de herramientas de los llamados “traffic traders” (mercaderes de tráfico), que son cibercriminales que redirigen a los visitantes hacia páginas manipuladas o infectadas con el propósito de robarles información o dinero. Al final, el usuario “inocente”, sin sospechar, puede convertirse en víctima de un ataque dirigido y, si el navegador del usuario o sus plugins poseen las vulnerabilidades necesarias, el malware será descargado e instalado en el PC de la víctima.

Kaspersky Labs nos ofrece un sistema que automáticamente detecta y “visita” páginas webs sospechosas para así recoger muestras maliciosas que posteriormente envía automáticamente a su laboratorio. Para mantener seguro nuestro sistema en lo que se refiere a la detección de amenazas “online”, las páginas infectadas son analizadas por expertos investigadores. Con la precisión y cuidado de un investigador forense, son capaces de determinar como actúan esos ataques cuando un internauta visita la mencionada web.

Andrey Makhnutin, investigador forense de la firma, relata una experiencia que tuvo recientemente, trabajando en el análisis de un aplicación que le habían encomendado: Fiddler. Empezando la casa “por los cimientos”, el investigador se centró en los elementos más comunes o básicos que pueden emplear los ciberdelincuentes para programar un ataque drive-by. Hablamos de las infecciones web debidas a elementos de código como etiquetas <script> o <iframe> que podrían redirigir a los usuarios a otras webs manipuladas. Si embargo, no encontró nada extraño. Ciertamente, los atacantes procuran no dejar rastros de infección a esos niveles sino esconder los enlaces en elementos vulnerables.

El siguiente paso era examinar las partes Javascript contenidas en la web -tampoco aquí encontró nada-. Había también algunos clips tipo Flash, los cuales son peligrosos y podrían descargar malware. Andrey los desmontó y se fijó en cada uno de ellos. Desafortunadamente, no había rastro alguno de código malicioso. Entonces ¿qué estaba pasando por alto el investigador? Repitió las pruebas una y otra vez sin resultado.

Entonces, su atención se centró en una sencilla cadena en Fiddler, que indicaba que parte del contenido de la página web se descargaba a través de un canal cifrado vía HTTPS.

Conexión HTTPS establecida en la web de Fiddler

Era difícil de imaginar que un delincuente hubiese tomado la costosa decisión de obtener un certificado SSL para dicha web con el objetivo de difundir sus programas maliciosos, ya que estas páginas son puestas en “listas negras” por los antivirus y pierden rápidamente su valor. Pero, como diría Shrelock Holmes, “Elimina todos los restantes factores, y lo que quede será la verdad“.

Minutos después y a pesar de su incredulidad inicial, el investigador había iniciado el proceso de descifrado del tráfico HTTP generado por la web. Pronto pudo constatar que lo que parecía una ordinaria cadena en el código estaba en realidad redirigiendo el tráfico hacia una web manipulada.

Redirección producida por la web de Fiddler

El sitio web que servía como fuente de software malicioso, así como la página web que servía como intermediaria en la redirección hacia el certificado SSL, estaban listados en la base de datos de Kaspersky como recursos maliciosos. Todo el malware que se descargaba había sido previamente identificado por Kaspersky.

Llegados a este punto cabe preguntarse ¿Están los delincuentes comprando realmente certificados SSL, o es que han encontrado una vía para saltar la verificación del navegador usando certificados SSL falsos? Sorprendentemente, en el certificado estaba la cuestión.

Certificado manipulado instalado por la página web de Fiddler

Bastante a menudo, se observan ataques que van dirigidos a socavar la confianza de la víctima -se hackean las cuentas en redes sociales para enviar enlaces a sus amistades, camuflados en algún vídeo de “gatos”o similar (pero con extensión .exe, no todo el mundo se da cuenta) Después, recrean los logotipos de las agencias de confianza, aderezados con un troyano blackmailer, y persuaden a los usuarios para que introduzcan su número teléfono “para luchar contra las botnets”. Más aún, los cibercriminales también invierten importantes esfueros para sobrepasar las medidas antivirus o similares. Lo que podría parecer una simple e inocua línea gris en una conexión HTTPS es un ejemplo más de estas tácticas.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR