{"id":1460369,"date":"2024-11-27T19:57:51","date_gmt":"2024-11-27T19:57:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/ultimos-escenarios-de-ataques-en-varias-etapas-con-ejemplos-del-mundo-real\/"},"modified":"2024-11-27T19:57:56","modified_gmt":"2024-11-27T19:57:56","slug":"ultimos-escenarios-de-ataques-en-varias-etapas-con-ejemplos-del-mundo-real","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ultimos-escenarios-de-ataques-en-varias-etapas-con-ejemplos-del-mundo-real\/","title":{"rendered":"\u00daltimos escenarios de ataques en varias etapas con ejemplos del mundo real"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los ciberataques de varias etapas, caracterizados por sus complejas cadenas de ejecuci\u00f3n, est\u00e1n dise\u00f1ados para evitar la detecci\u00f3n y enga\u00f1ar a las v\u00edctimas con una falsa sensaci\u00f3n de seguridad. Saber c\u00f3mo operan es el primer paso para construir una estrategia de defensa s\u00f3lida contra ellos. Examinemos ejemplos del mundo real de algunos de los escenarios de ataques de m\u00faltiples etapas m\u00e1s comunes que est\u00e1n activos en este momento.<\/p>\n

URL y otro contenido incrustado en documentos<\/h2>\n

Los atacantes suelen ocultar enlaces maliciosos dentro de documentos aparentemente leg\u00edtimos, como archivos PDF o Word. Al abrir el documento y hacer clic en el enlace incrustado, los usuarios son dirigidos a un sitio web malicioso. Estos sitios suelen emplear t\u00e1cticas enga\u00f1osas para que la v\u00edctima descargue malware en su computadora o comparta sus contrase\u00f1as.<\/p>\n

Otro tipo popular de contenido incrustado son los c\u00f3digos QR. Los atacantes ocultan URL maliciosas dentro de c\u00f3digos QR y las insertan en documentos. Esta estrategia obliga a los usuarios a recurrir a sus dispositivos m\u00f3viles para escanear el c\u00f3digo, que luego los dirige a sitios de phishing. Estos sitios generalmente solicitan credenciales de inicio de sesi\u00f3n, que los atacantes roban inmediatamente al ingresar.<\/p>\n

Ejemplo: archivo PDF con c\u00f3digo QR<\/h3>\n

Para demostrar c\u00f3mo se desarrolla un ataque t\u00edpico, usemos el Caja de arena ANY.RUN<\/a>que ofrece un entorno virtual seguro para estudiar archivos y URL maliciosos. Gracias a su interactividad, este servicio basado en la nube nos permite interactuar con el sistema como en una computadora est\u00e1ndar.<\/p>\n

Consigue hasta 3 licencias ANY.RUN de regalo con una oferta del Black Friday\u2192<\/a><\/p>\n

Para simplificar nuestro an\u00e1lisis, habilitaremos la funci\u00f3n de interactividad automatizada que puede realizar todas las acciones del usuario necesarias para desencadenar un ataque o la ejecuci\u00f3n de una muestra autom\u00e1ticamente.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
PDF de phishing con c\u00f3digo QR malicioso abierto en el sandbox de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Considerar esta sesi\u00f3n de espacio aislado<\/a>que presenta un archivo .pdf malicioso que contiene un c\u00f3digo QR. Con la automatizaci\u00f3n activada, el servicio extrae la URL dentro del c\u00f3digo y la abre en el navegador por s\u00ed solo. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
La \u00faltima p\u00e1gina de phishing donde se ofrece a las v\u00edctimas compartir sus credenciales<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Despu\u00e9s de algunas redirecciones, el ataque nos lleva a la p\u00e1gina final de phishing dise\u00f1ada para imitar un sitio de Microsoft. Est\u00e1 controlado por actores de amenazas y configurado para robar los datos de inicio de sesi\u00f3n y contrase\u00f1a de los usuarios, tan pronto como se ingresan.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
La regla Suricata IDS identific\u00f3 una cadena de dominio de phishing durante el an\u00e1lisis<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El sandbox permite observar toda la actividad de la red que ocurre durante el ataque y ver las reglas activadas de Suricata IDS.<\/p>\n

Despu\u00e9s de completar el an\u00e1lisis, el sandbox de ANY.RUN proporciona un veredicto concluyente de “actividad maliciosa” y genera un informe sobre la amenaza que tambi\u00e9n incluye una lista de IOC.<\/p>\n

Redirecciones de varias etapas<\/h2>\n

Las redirecciones de varias etapas implican una secuencia de URL que mueven a los usuarios a trav\u00e9s de varios sitios y, en \u00faltima instancia, conducen a un destino malicioso. Los atacantes suelen utilizar dominios confiables, como Google o plataformas de redes sociales populares como TikTok, para que las redirecciones parezcan leg\u00edtimas. Este m\u00e9todo complica la detecci\u00f3n de la URL maliciosa final por parte de las herramientas de seguridad.<\/p>\n

Algunas etapas de redireccionamiento pueden incluir desaf\u00edos CAPTCHA para evitar que soluciones y filtros automatizados accedan a contenido malicioso. Los atacantes tambi\u00e9n pueden incorporar scripts que verifiquen la direcci\u00f3n IP del usuario. Si se detecta una direcci\u00f3n basada en alojamiento, com\u00fanmente utilizada por las soluciones de seguridad, la cadena de ataque se interrumpe y el usuario es redirigido a un sitio web leg\u00edtimo, impidiendo el acceso a la p\u00e1gina de phishing.<\/p>\n

Ejemplo: cadena de enlaces que conducen a una p\u00e1gina de phishing<\/h3>\n

Aqu\u00ed hay un sesi\u00f3n de zona de pruebas<\/a> mostrando toda la cadena de ataque a partir de un enlace de TikTok aparentemente leg\u00edtimo.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
URL de TikTok que contiene una redirecci\u00f3n a un dominio de Google<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Sin embargo, una mirada m\u00e1s cercana revela c\u00f3mo la URL completa incorpora una redirecci\u00f3n a un dominio leg\u00edtimo de Google. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
ANY.RUN resuelve autom\u00e1ticamente el CAPTCHA y pasa a la siguiente etapa del ataque.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Desde all\u00ed, el ataque pasa a otro sitio con una redirecci\u00f3n y luego a la p\u00e1gina de phishing final, que, sin embargo, est\u00e1 protegida con un desaf\u00edo CAPTCHA.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
P\u00e1gina falsa de Outlook destinada a robar datos de usuarios<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Gracias al an\u00e1lisis de contenido avanzado, el sandbox resuelve autom\u00e1ticamente este CAPTCHA, permiti\u00e9ndonos observar la p\u00e1gina falsa dise\u00f1ada para robar las credenciales de las v\u00edctimas.<\/p>\n

Archivos adjuntos de correo electr\u00f3nico<\/h2>\n

Los archivos adjuntos de correo electr\u00f3nico siguen siendo un vector frecuente de ataques en varias etapas. En el pasado, los atacantes frecuentemente enviaban correos electr\u00f3nicos con documentos de Office que conten\u00edan macros maliciosas. <\/p>\n

Actualmente, la atenci\u00f3n se ha desplazado hacia los archivos que incluyen cargas \u00fatiles y scripts. Los archivos proporcionan un m\u00e9todo sencillo y eficaz para que los actores de amenazas oculten ejecutables maliciosos de los mecanismos de seguridad y aumenten la confiabilidad de los archivos.<\/p>\n

Ejemplo: archivo adjunto de correo electr\u00f3nico con malware Formbook<\/h3>\n

En esta sesi\u00f3n de espacio aislado<\/a>podemos ver un correo electr\u00f3nico de phishing que contiene un archivo adjunto .zip. El servicio abre autom\u00e1ticamente el archivo, que contiene varios archivos.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Correo electr\u00f3nico de phishing con un archivo<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Con Smart Content Analysis, el servicio identifica la carga \u00fatil principal y la lanza, lo que inicia la cadena de ejecuci\u00f3n y nos permite ver c\u00f3mo se comporta el malware en un sistema activo.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Regla Suricata IDS utilizada para detectar la conexi\u00f3n de FormBook a su C2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El sandbox detecta FormBook y registra todas sus actividades de red y sistema, adem\u00e1s de proporcionar un informe detallado de amenazas.<\/p>\n

Obtenga su oferta del Black Friday de ANY.RUN<\/h2>\n

Analice correos electr\u00f3nicos, archivos y URL sospechosos en el entorno limitado de ANY.RUN para identificar r\u00e1pidamente los ciberataques. Con la interactividad automatizada, el servicio puede realizar todos los pasos de an\u00e1lisis necesarios por s\u00ed solo, ahorr\u00e1ndole tiempo y present\u00e1ndole s\u00f3lo la informaci\u00f3n m\u00e1s importante sobre la amenaza en cuesti\u00f3n.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Oferta de Black Friday de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

ANY.RUN ofrece actualmente ofertas del Black Friday. Consigue el tuyo antes del 8 de diciembre:<\/p>\n

    \n
  1. Para usuarios individuales: <\/strong>2 licencias por el precio de 1.<\/li>\n
  2. Para equipos: <\/strong>Hasta 3 licencias + plan b\u00e1sico anual para Threat Intelligence Lookup, la base de datos con capacidad de b\u00fasqueda de ANY.RUN con los datos de amenazas m\u00e1s recientes;<\/li>\n<\/ol>\n

    Vea todas las ofertas y pruebe el servicio con una prueba gratuita hoy \u2192<\/a><\/p>\n

    Conclusi\u00f3n<\/h2>\n

    Los ataques en varias etapas son una amenaza importante tanto para las organizaciones como para los individuos. Algunos de los escenarios de ataque m\u00e1s comunes incluyen URL e incrustaciones en documentos, c\u00f3digos QR, redirecciones de varias etapas, archivos adjuntos de correo electr\u00f3nico y cargas \u00fatiles archivadas. Al analizarlos con herramientas como el sandbox interactivo de ANY.RUN, podemos defender mejor nuestra infraestructura.<\/p>\n

    <\/p>\n

    \u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n