ESET, compañía experta en detección proactiva de amenazas, identificó una campaña del grupo malicioso Turla, cuyos objetivos de ataque durante años han sido gobiernos, funcionarios gubernamentales y diplomáticos. En este caso incluyeron en un mensaje de Instagram una URL oculta de un sitio web malicioso en una foto subida a la cuenta de Britney Spears en Instagram.
PUBLICIDAD
“Aunque creemos que este caso solamente se trata de un tipo de prueba, es probable que la próxima versión, si llega a haber una, sea muy diferente. El hecho de que los actores de Turla estén utilizando las redes sociales como medio para obtener la dirección de los servidores de C&C es sumamente novedoso”, mencionó Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica.
Este grupo utiliza la técnica llamada Watering Hole, que redirige a las víctimas que consideran potencialmente interesantes a su infraestructura de servidores de Comando y Control (C&C). En un ataque Watering Hole, se infectan los sitios web que tienen más probabilidades de ser visitados por los objetivos de interés. De esta manera, los visitantes son redirigidos a un servidor malicioso insertado por el atacante.
Uno de los máximos intereses de los operadores de Turla es infectar sitios web de embajadas. Teniendo esto en cuenta, desde ESET se monitorea de cerca la evolución de estas campañas y hace poco desde su Laboratorio de Investigación se identificó el uso de redes sociales para ocultar información de conexión a sus centros de comando y control. De hecho, los investigadores observaron algo relacionado en los comentarios que aparecen en esa publicación específica de Instagram. El comentario utilizado en la muestra analizada era sobre una fotografía publicada en la cuenta oficial de Instagram de Britney Spears.
Al observar la fotografía, se observó que este comentario se publicó el 6 de febrero, mientras que la fotografía original se había publicado a principios de enero. En el mismo estaba oculta la URL que redirigía a un sitio web de un servidor malicioso. En este caso, sólo se registraron 17 clics en febrero, justo para la fecha en que se publicó el comentario. Es un número muy bajo; lo que podría indicar que sólo se trataba de una prueba.
