Un nuevo tipo de ataque, "Hombre en la nube" (MITC), puede cooptar servicios de sincronización de archivos comunes como Google Drive y Dropbox para convertirlos en herramientas de ataque devastadoras, reveló Imperva en un informe publicado hoy en el Black Hat USA 2015. 

Este ataque de próxima generación no requiere comprometer el nombre de la cuenta de usuario en la nube o la contraseña del usuario y podría ser una forma muy efectiva de distribuir malware. 

"MITC no requiere de ningún código malicioso o exploit en particular para ser utilizado en la etapa inicial de la infección, por lo que resulta muy difícil de evitar. Además, el uso de protocolos de sincronización bien conocidos hacen que sea extremadamente difícil (si no imposible) distinguir el tráfico malicioso del tráfico normal. Incluso si se sospecha que se ha sido comprometido, el descubrimiento y análisis de las pruebas no será fácil por que se dejan pocos indicios del ataque en el equipo del usuario final", explicó la compañía. 

Un resultado no deseado adicional en un ataque de ese tipo es que podría ser muy difícil y a menudo imposible para las empresas recuperar la cuenta comprometida, por lo que tendrían que crear una nueva. 

El informe detalla varios tipos de ataques MITC ejecutados con la ayuda de la herramienta PoC Switcher:

• El ataque Quick Double Switch permite al atacante compartir la cuenta sincronizada de los archivos de la víctima, para tener acceso a los archivos en ella y para infectarlos con código malicioso.
• El Persistent Double Switch es similar al anterior, pero también permite al atacante mantener el acceso remoto a la víctima.
• El Single Switch (rápido o persistente) permite al atacante acceder a los datos de la víctima, máquina y ejecutar código malicioso.

"Debido a que la mayoría de las organizaciones permiten a sus usuarios utilizar la sincronización de archivos o incluso dependen de estos servicios como parte de su caja de herramientas de negocio, creemos que los ataques MITC serán frecuentes", concluyeron los investigadores. "Como resultado, animamos a las empresas a cambiar el enfoque de sus esfuerzos en seguridad de prevenir infecciones y protejer el punto final hacia asegurar sus datos empresariales y aplicaciones desde la fuente." 

"Dado que hemos encontrado evidencia de MITC en el campo, las organizaciones que confían en la protección contra la infección a través de la detección de código malicioso o detección de la comunicación de comando y control (C&C) son un grave riesgo, tal como en los ataques hombre en la nube en el lugar de Enterprise File Synch y Share (EFSS) infraestructura para C&C y exfiltración", dijo Amichai Shulman, CTO de Imperva.