¿Con qué se come un ataque de Drive-by Download?
Para entender un poco por qué vamos a hablar hoy de Drive-by Download, nuestro amigo Lockbit 3.0 es inyectado en nuestras estaciones de trabajo y servidores, normalmente, a través de un tercero como un beacon Cobalt Strike.
Este beacon de Cobalt Strike es descargado por el malware SocGholish y a su vez el SocGholish lo descarga un ataque de Drive-by Download o descarga automática.
Por esta razón en este post vamos a revisar "con qué se come un ataque de Drive-by Download".
¿Qué es Drive-by Download o descarga automática?
Cuando hablamos de un ataque de drive-by download hablamos básicamente de una descarga no intencional desde un servidor web hacia un endpoint - estación de trabajo, servidor o dispositivo móvil.
Decimos no intencional porque es posible que el usuario intente descargar algo particular haciendo clic en un botón y los ciberatacantes envíen otro tipo de información (malware) al endpoint o el usuario no haya intentado descargar absolutamente nada y solo activando un iframe, sin necesidad de hacer click en ningún botón o link, se inicie una descarga hacia su computador.
Esta descarga no intencional trata siempre de código malicioso que va a intentar vulnerar al endpoint - navegador, complemento del navegador o sistema operativo, robar credenciales o información personal y exponer al usuario final a distintas amenazas como por ejemplo el malware SocGholish o la inyección de troyanos bancarios.
¿Cómo funciona este ataque?
Un ejemplo es cuando el usuario intenta descargar algún programa legítimo o no, los cibercriminales pueden enviar aplicaciones potencialmente peligrosas (PUAs) simulando ser las deseadas por el usuario incauto.
El usuario instala la aplicación y esta se encarga de descargar de otros sitios el malware que tomará control del endpoint.
Otro ejemplo es cuando el usuario navega por la página y se inicia el ataque, en este caso los cibercriminales hacen uso de Exploit kits que vulneran el servidor web y los navegadores así como vulnerabilidades de seguridad del navegador o complementos del navegador.
¿Qué soluciones o módulos debo tener instaladas para evitar un ataque de este tipo?
Software PatchManagement
Mantener actualizado el endpoint - sistema operativo, navegador, complementos del navegador y soluciones de seguridad.Sophos Intercept X con XDR
Disminuir la superficie de ataque limitando las apps y complementos instalados en el endpoint#deeplearning en la capa del endpoint para evitar los procesos maliciosos nunca antes vistos
Sophos PhishThreat
La mejor protección para evitar engaños a través de la ingeniería social es la educación o concientización de los usuarios finales#sophos XGS Firewall
Limitar los accesos a páginas web a los usuarios finales a través de un módulo avanzado de web filteringAnalizar todos los archivos que se descargan con el módulo de #Sandboxing
Módulo de IPS que detenga los ataques de exploits
