¿Con qué se come un ataque de Drive-by Download?

Escrito por Sergio Maestre

Para entender un poco por qué vamos a hablar hoy de Drive-by Download, nuestro amigo Lockbit 3.0 es inyectado en nuestras estaciones de trabajo y servidores, normalmente, a través de un tercero como un beacon Cobalt Strike.

Este beacon de Cobalt Strike es descargado por el malware SocGholish y a su vez el SocGholish lo descarga un ataque de Drive-by Download o descarga automática.

Por esta razón en este post vamos a revisar "con qué se come un ataque de Drive-by Download".

¿Qué es Drive-by Download o descarga automática?

Cuando hablamos de un ataque de drive-by download hablamos básicamente de una descarga no intencional desde un servidor web hacia un endpoint - estación de trabajo, servidor o dispositivo móvil.

Decimos no intencional porque es posible que el usuario intente descargar algo particular haciendo clic en un botón y los ciberatacantes envíen otro tipo de información (malware) al endpoint o el usuario no haya intentado descargar absolutamente nada y solo activando un iframe, sin necesidad de hacer click en ningún botón o link, se inicie una descarga hacia su computador.

Esta descarga no intencional trata siempre de código malicioso que va a intentar vulnerar al endpoint - navegador, complemento del navegador o sistema operativo, robar credenciales o información personal y exponer al usuario final a distintas amenazas como por ejemplo el malware SocGholish o la inyección de troyanos bancarios.

¿Cómo funciona este ataque?

Un ejemplo es cuando el usuario intenta descargar algún programa legítimo o no, los cibercriminales pueden enviar aplicaciones potencialmente peligrosas (PUAs) simulando ser las deseadas por el usuario incauto.

El usuario instala la aplicación y esta se encarga de descargar de otros sitios el malware que tomará control del endpoint.

Otro ejemplo es cuando el usuario navega por la página y se inicia el ataque, en este caso los cibercriminales hacen uso de Exploit kits que vulneran el servidor web y los navegadores así como vulnerabilidades de seguridad del navegador o complementos del navegador.

¿Qué soluciones o módulos debo tener instaladas para evitar un ataque de este tipo?

  • Software PatchManagement
    Mantener actualizado el endpoint - sistema operativo, navegador, complementos del navegador y soluciones de seguridad.

  • Sophos Intercept X con XDR
    Disminuir la superficie de ataque limitando las apps y complementos instalados en el endpoint

  • #deeplearning en la capa del endpoint para evitar los procesos maliciosos nunca antes vistos

  • Sophos PhishThreat
    La mejor protección para evitar engaños a través de la ingeniería social es la educación o concientización de los usuarios finales

  • #sophos XGS Firewall
    Limitar los accesos a páginas web a los usuarios finales a través de un módulo avanzado de web filtering

  • Analizar todos los archivos que se descargan con el módulo de #Sandboxing

  • Módulo de IPS que detenga los ataques de exploits

Sergio Maestre https://www.corpmaestre.com
Anterior

Firewall de próxima generación: ¿De qué generación es un Firewall de Next Generación?