El nuevo equipo de investigación de RSA denominado FirstWatch ha presentado recientemente sus hallazgos sobre una campaña "water holing" detectada por primera vez el pasado julio.

La idea del ataque consiste en comprometer sitios web que los usuarios suelen visitar, equipándolos con iframes que apuntan a servidores que alojan exploits para fallas de día cero.

Como evidencia obtenida por la investigación hecha por Symantec a la banda de Elderwood, los ataques watering hole están sustituyendo rápidamente a los correos phishing como el método preferido de infectar y comprometer computadoras en campañas dirigidas, ya que este enfoque permite a los atacantes abarcar a más víctimas y obtener más datos.

Esta campaña recientemente develada, ha afectado a un número de sitios web, insertando en ellos código JavaScript que redirige a los usuarios a un sitio con exploits que resultó ser una página para aficionados del curling.

El sitio fue manipulado para cargar exploits para fallas de Java y/o de Microsoft Windows. Si los exploits tenían éxito, instalaban Gh0st RAT en la computadora atacada para que así, los atacantes tomaran control de ella.

"Mientras que no hay evidencia que relacione este ataque con ataques anteriores, Gh0st ha sido usado históricamente en espionaje con motivos políticos, por atacantes de Estados-Nación", señalaron los investigadores en el reporte(PDF).

Si se toman en consideración los sitios que sirvieron como "watering holes", esta campaña parece haber afectado a usuarios del área de Boston, Massachusetts, activistas políticos, usuarios de Washington DC y sus suburbios, además de usuarios de la industria de defensa y educación.

Dos variantes (una comprimida y otra no) de Gh0st RAT fueron entregadas a los usuarios afectados, ambas pretendian ser una actualización de Symantec. De acuerdo a los investigadores, el archivo en cuesetión, llamado VPTray.EXE, no fue detectado por VirusTotal hasta el momento de la publicación del artículo, hace dos días.

El ataque también utiliza otro ejecutable malicioso, disfrazado como una actualización de Microsoft en los sistemas. El archivo es guardado en el folder "Local Settings\Temp" del usuario actual y nombrado SVOHOST.EXE, en un intento de pasar desapercibido ya que el nombre es similar al del archivo legítimo SVCHOST.EXE.

El archivo malicioso deshabilita el Editor de Registro y la Restauración del Sistema de Windows, para asegurar la persistencia del malware y prevenir que los usuarios reviertan el sistema a un estado seguro anterior a la infección.

"Basados en nuestro análisis, un total de 32,160 equipos únicos, representando 731 organizaciones globales únicas, fueron redirigidas desde servidores web comprometidos en los que se inyectó el iframe de redirección hacia el servidor que contiene el exploit", indicaron los investigadores.

"De estas redirecciones, 3,934 equipos descargaron el exploit CAB y archivos JAR (lo que indica una vulneración exitosa del equipo visitante). Esto da una stadística "de éxito" del 12%, que basados en nuestro previo entendimiento de campañas de exploits, indica una campaña muy exitosa".

Dado que la infraestructura de comando y control para el ataque está localizada en el área de Hong Kong, al uso de Gh0st RAT, al uso de un kit de scripts particular para redirigir a las víctimas y a los objetivos de interes, los investigadores creen que el ataque fue probablemente orquestado y llevado a cabo por los mismos actores que efectuaron las campañas de ataque Aurora y Ghostnet.