AlienVault Labs descubrió un ataque Watering hole que utiliza un framework desarrollado para reconocimiento como su vector de infección.

Los criminales responsables del incidente comprometieron el sitio web de una firma de software industrial, lo que sugiere la posibilidad de futuros ataques contra varias industrias, el nombre de la compañía no fue revelado.

Las víctimas producen software utilizado en ingeniería de sistemas y simulación para una amplia gama de industrias, incluyendo la automotriz, aeroespacial y manufactura, dijo AlienVault.

El ataque comienza en el sitio web de la empresa comprometida, donde un archivo JavaScript malicioso es descargado desde un servidor remoto. A diferencia de la mayoría de los incidentes Watering hole, donde el visitante está infectado con malware, este ataque ofrece un framework llamado Scanbox. Scanbox recolecta datos de la víctima y lo entrega al servidor command and control.

El framework, con el uso de plugins, tiene la habilidad para detectar decenas de instalaciones de software de terceros, incluyendo navegadores, mensajería instantánea, software de acceso remoto, software de negocios y software de seguridad. Finalmente, el registro de las pulsaciones del teclado se utiliza para capturar los datos de forma periódica, así como cuando la información es enviada por la víctima al sitio web comprometido.

Esta no es la primera vez que se han visto técnicas similares. AlienVault notificó este tipo de reconocimiento el pasado julio después de observar un número considerable de ataques.

"Este es un poderoso framework que da a los atacantes mucha información sobre los posibles blancos, lo que les ayudarán a lanzar futuros ataques contra ellos", comentó Jaime Blasco de AlienVault. "También hemos visto varios exploits de Metasploit dirigidos a diferentes versiones de Java en la misma dirección IP que aloja el framework Scanbox".

La dirección IP que aloja el servidor command and control está asignada a un centro de datos en Hong Kong.