¿Qué son los Highly Evasive Adaptive Threats?

4min

En el mundo de la ciberseguridad nunca hay tregua. Los delincuentes se especializan cada vez más y discurren nuevas soluciones para conseguir sus fines.  Una de las más recientes novedades delictivas son las  HEAT (Highly Evasive Adaptive Threats, o Amenazas adaptativas altamente evasivas). Los ataques HEAT funcionan a través del navegador web y pueden eludir las medidas de seguridad web tradicionales. También aprovechan las funciones del navegador para distribuir malware o comprometer las credenciales almacenadas, y, en la mayoría de los casos, esto termina con la distribución de ransomware.

Índice

¿Cómo consiguen estas técnicas de ataque sus propósitos?

Evitando la inspección de contenido estático y dinámico

Los ataques HEAT a menudo utilizan el HTML smuggling, o trucos de JavaScript, por ejemplo, en los navegadores para enviar software malicioso a los dispositivos. La clave de esta técnica es que se construye el archivo malicioso en el navegador, sin necesidad de solicitar un archivo remoto que pueda ser inspeccionado en el proceso.

De esta manera, se puede transferir el malware eludiendo con eficacia los cortafuegos y las soluciones de seguridad de red. Los tipos de archivos que se supone que están bloqueados por las políticas de pasarela web segura pueden llegar a los puntos finales sin ninguna interacción del usuario. Ahí está el poder de esta técnica.

Evitando el análisis de enlaces maliciosos

Los motores de análisis de enlaces maliciosos se implementan, normalmente, en la ruta del correo electrónico. De esta forma, los enlaces se analizan antes de que lleguen al punto final. Con las técnicas HEAT, los usuarios reciben enlaces maliciosos por otras vías ajenas al correo electrónico: redes sociales y profesionales; herramientas de colaboración; documentos compartidos…

De esta forma, los enlaces no se analizan de la misma manera, y los atacantes tienen una ventana de oportunidad que, de momento, les sirven para robar credenciales corporativas, en lugar de personales, con las que enviar malware a los puntos finales y eludir la seguridad.

Un ejemplo lo tenemos recientemente en LinkedIn. Los atacantes utilizaron tácticas de spear phishing a través del módulo de mensajería instantánea de la plataforma para enviar falsas ofertas de trabajo con enlaces maliciosos para infectar a los usuarios con un troyano de puerta trasera. Gracias a esto, los atacantes obtenían el control remoto completo sobre el ordenador del objetivo.

Esquivando la categorización offline y la detección de amenazas

Los ataques HEAT evaden la categorización web utilizando para sus fines otros sitios web «inocentes», ya sea comprometiendo sitios existentes o creándolos nuevos. Una vez que los delincuentes activan esos sitios web, los utilizan para sus fines maliciosos durante un tiempo breve, para luego revertirlos a su contenido original, o eliminarlos.

Ocultándose a la inspección del tráfico HTTP

En este tipo de ataques HEAT, el contenido malicioso, sea el que sea, se genera por JavaScript en el propio navegador a través de su motor de renderizado. Esto sencillamente hace inútil cualquier técnica de detección previa a la ejecución o renderización de la página web: no pueden ser detectados por ninguna técnica o herramienta que examine el código fuente de la página web, ni tampoco por el tráfico HTTP. 

Además, lo más común es emplear JavaScript ofuscado, lo que aumenta la dificultad para la detección de las amenazas (sobre todo para el personal que se encarga de investigar estos ataques). JavaScript, además, es un lenguaje muy presente en casi todos los sitios web, por tanto, no es una opción viable la de limitar su uso o desactivarlo por completo. Ahora mismo, los ciberdelincuentes que utilizan estas técnicas tienen su momento de gloria para sacarle partido.

¿Qué se puede hacer frente a estos tipos de ataque?

La respuesta no es nada trivial, y de momento las empresas deberían centrarse en tres aspectos clave que limiten su exposición a las amenazas HEAT: adoptar una mentalidad de prevención antes que detección; ser capaces de contener las amenazas antes de que lleguen al punto final; trabajar en funciones avanzadas contra el phishing.  Por eso, una de las mejores maneras de protegerse ante este tipo de amenazas es desplegar una solución de seguridad endpoint, antivirus y sistemas que buscan, bloquean y eliminan amenazas en cualquier dispositivo  (móviles, ordenadores, servidores) protegiendo los activos de las empresas muy fácilmente.

Fernando Fuentes

Productos relacionados: