Los ciberdelincuentes recurren cada vez más a plataformas de nube populares para alojar malware

Recurrir a servicios conocidos de nube pública para realizar sus fechorías va camino de convertirse en una táctica extendida entre los ciberdelincuentes.

La división de ciberinteligencia de Cisco, Cisco Talos, ha descubierto varias campañas que utilizan este mecanismo.

Una de ellas, que ha afectado a países tan diversos como Italia, Estados Unidos y Singapur, aprovechó las plataformas de Microsoft Azure y Amazon Web Services para desplegar herramientas de gestión remota capaces de tomar el control de los equipos de las víctimas y robar su información.

En esta campaña se usaron variantes de los troyanos Netwire, Nanocore y AsyncRAT, se registraron subdominios maliciosos por medio de DuckDNS y se enviaron correos de phishing con un ZIP adjunto como vector de infección. Dicho ZIP contenía una imagen ISO con un cargador en forma de JavaScript, un archivo batch de Windows o un script de Visual Basic que al ejecutarse descargaba el malware alojado en un servidor Windows basado o bien en Azure o bien en una instancia de AWS.

De este modo, los ciberdelincuentes configuraron el malware con rapidez, sin apenas coste económico y sin recurrir al alojamiento de su propia infraestructura.

“Cada vez más campañas maliciosas abusan de servicios en la nube y los utilizan activamente para lograr sus objetivos. Esto también hace más difícil para los defensores rastrear las operaciones de los atacantes“, observa Ángel Ortiz, director de Ciberseguridad en Cisco España.

“Las organizaciones deberían disponer de herramientas nativas de seguridad en la nube que proporcionen una visión global de la actividad en estos entornos. En particular”, recomienda Ortiz, “es vital inspeccionar las conexiones salientes a los servicios de computación en la nube en busca de tráfico malicioso”.