Así funciona 'Dark Hotel', el 'malware' para ejecutivos que se alojan en hoteles de lujo

Lleva operando de forma impune desde hace ya cuatro años. Su modus operandi es siempre el mismo. Se aprovecha de la red wifi de los hoteles para acceder a sus víctimas (principalmente directivos de empresas), y de esta forma engañarles para que instalen un backdoor. A partir de ahí tiene vía libre para acceder a toda la información y dinero que manejen. Pero lo peor de todo es que, a pesar de que se conoce perfectamente cómo funciona, todavía sigue libre.



Hablamos de Dark Hotel, un malware que está causando estragos entre muchos usuarios. Los cibercriminales que lo utilizan nunca se dirigen al mismo ejecutivo dos veces y realizan operaciones con precisión quirúrgica, obteniendo todos los datos valiosos que pueden desde el primer contacto, borrando las huellas de su trabajo y esperando en un segundo plano a la próxima víctima de alto perfil.

En todos estos casos trabaja de la misma forma. Rastrea la red hasta que detecta a un cliente en concreto que se conecta al wifi del hotel y después le engaña para que descargue un backdoor, que se hace pasar por una actualización de software legítimo como por ejemplo Adobe Flash o Windows Messenger. Es entonces cuando la descarga de esta especie de paquete de bienvenida infecta el dispositivo con el software de espionaje de Dark Hotel.

Una vez en el sistema, el backdoor puede ser utilizado también para descargar más herramientas avanzadas: un keylogger avanzado firmado digitalmente, el troyano Karba o un módulo de información para robar. Estas herramientas recopilan datos sobre el sistema y el software antivirus instalado en él, roban las contraseñas y credenciales de acceso almacenadas en caché en Firefox, Chrome e Internet Explorer, así como Twitter, Facebook, Yahoo! y Google; además de otra información privada.

Un virus que se aprovecha de la red wifi pública

"Lo que hace particular a este ataque es la excepción de los hoteles y sus víctimas. Cuando ciertos huéspedes se conectan a internet reciben una actualización falsa que generalmente se instalan. Con esto introducen el código malicioso. Estas víctimas son ejecutivos de empresas con cargos importantes. Son ataques dirigidos a personas en concreto", ha explicado a Teknautas Vicente Díaz, analista de Kaspersky.
El hecho de que la víctima y el atacante se encuentren en la misma red local otorga mucha ventaja a este último. Por esto muchos ciberdelincuentes se aprovechan de wifis públicas y lugares donde saben que el perfil del usuario de internet es alto, como por ejemplo hoteles de lujo o aeropuertos.

Muchos usuarios aprovechan las redes wifi públicas para descargar actualizaciones y de esta forma no gastar datos"En estos sitios hay que tener especial atención. En los aeropuertos por ejemplo, aparecen siempre varios puntos de redes y es imposible saber de dónde vienen. Sobre todo donde hay vuelos internacionales, lo que es sinónimo de mucho tráfico de negocio. Muchos son inseguros", ha añadido Fernando de la Cuadra, director de Educación de Eset.

Las medidas que se pueden tomar en estos casos son similares a las que deben seguirse en el supuesto de conectarse a una red wifi pública. Es decir, utilizarlas sólo cuando es estrictamente necesario y en el caso de hacerlo, desconfiar. Lo que implica no descargarse actualizaciones.

El problema, según de la Cuadra, es que "muchos usuarios aprovechan las redes wifi públicas precisamente para descargar actualizaciones y de esta forma no gastar datos".

Entre otras medidas de seguridad a tener en cuenta también destaca la de utilizar una red privada virtual (VPN), en el caso de realizar descargas asegurarse de que están firmadas por el proveedor correspondiente o comprobar que la solución de seguridad que tengamos incluya la defensa proactiva contra amenazas nuevas, y no sólo la básica.

 <iframe width="853" height="480" src="//www.youtube.com/embed/7qp3nmAIk3w" frameborder="0" allowfullscreen></iframe>