Los ataques de tipo "Vivir de la tierra" utilizan herramientas y procesos integrados en lugar del malware tradicional
Leemos con frecuencia sobre la amenaza del malware y cómo los ciberdelincuentes lo utilizan para todo, desde robar información personal hasta tomar el control total de los dispositivos de los usuarios o agregarlos a botnets.
Estos programas maliciosos se propagan a través de diversas formas de phishing, ataques ClickFix, publicidad maliciosa e incluso aplicaciones que han sido verificadas y aprobadas por Apple y Google
Sin embargo, a medida que los usuarios (y las herramientas de seguridad) han mejorado en la identificación de los signos de una infección de malware y se han vuelto lo suficientemente astutos como para evitarlos desde el principio, algunos ciberdelincuentes han cambiado de táctica: los ataques Living Off the Land (LOTL), Vivir de la tierra en español, explotan utilidades y herramientas integradas del sistema que pueden tener menos probabilidades de levantar sospechas.
Cómo funcionan los ataques de Living Off the Land
Como describe Huntress, LOTL se refiere al uso de recursos locales en lugar de importar nuevos recursos externos. En vez de instalar malware personalizado en el equipo del usuario, los atacantes explotan herramientas como PowerShell, la Instrumental de administración de Windows (WMI), utilidades integradas y aplicaciones de confianza como Microsoft Teams con fines maliciosos.
Es poco probable que los programas antivirus detecten estas herramientas como sospechosas (en la mayoría de los casos, no lo hacen), ya que se integran en los procesos normales del sistema y su presencia es natural.
Mediante el secuestro de herramientas legítimas, los ciberdelincuentes pueden acceder a sistemas y redes, ejecutar código de forma remota, escalar privilegios, robar datos e incluso instalar otros tipos de malware.
La interfaz de línea de comandos de PowerShell permite descargar archivos y ejecutar comandos, lo que la convierte en una popular herramienta para los ciberdelincuentes, junto con WMI, aunque también se explotan con frecuencia los binarios de Unix y los controladores firmados de Windows.
Los atacantes de LOTL pueden emplear kits de exploits, que pueden propagar malware sin archivos mediante phishing u otras formas de ingeniería social, así como credenciales robadas y ransomware sin archivos para obtener acceso a herramientas nativas.
Malwarebytes Labs identificó recientemente una campaña propagada a través de falsas actualizaciones de Google Meet para explotar una función legítima de registro de dispositivos Windows, ejecutada a través de un servidor de ataque alojado en una plataforma de administración de dispositivos móviles de buena reputación.
Cómo detectar un ataque LOTL
Muchas tácticas para identificar, abordar y prevenir ataques LOTL están dirigidas a organizaciones con grandes infraestructuras que proteger [PDF], pero los usuarios individuales también pueden (y deben) estar atentos a este tipo de amenazas.
Como siempre, presta atención a las señales de phishing y otras formas de ingeniería social que los ciberdelincuentes utilizan para robar credenciales y obtener acceso a redes y dispositivos. Desconfía de las comunicaciones no solicitadas que contengan enlaces, notificaciones sobre actualizaciones de software y seguridad, y cualquier cosa que provoque curiosidad, ansiedad, urgencia o miedo. Instala las actualizaciones de seguridad tan pronto como estén disponibles para evitar que se exploten las vulnerabilidades.
En lo que respecta a la detección de LOTL, Huntress recomienda buscar comportamientos inusuales en lugar de solo archivos o programas sospechosos; por ejemplo, herramientas que se ejecutan fuera de su contexto habitual o con patrones inesperados, así como conexiones de red inusuales desde utilidades del sistema. Supervisa y registra el uso de herramientas comúnmente explotadas y audita cualquier herramienta de acceso remoto y el registro de dispositivos.
