Gmail es está utilizando como C&C para la exfiltración de la información corporativa, como muestra un informe elaborado por ElevenPaths. Las muestras de malware que utilizan servicios de correo electrónico como canales encubiertos para conseguir información están formando parte de ataques persistentes avanzados desde hace un tiempo.
A pesar de que estas técnicas no siempre están sujetas a un alto grado de inversión, están resultando eficaces en entornos corporativos con gran cantidad de información sensible por lo que implica limitar las comunicaciones hacia proveedores que también son usados legítimamente. Su mitigación se torna difícil, lo que obliga a replantearse las estrategias y elementos de defensa de malware avanzado.
Los ciberdelincuentes han aprendido a monetizar el malware en donde las variantes más comunes se suelen convertir en piezas que dan soporte a los canales de despliegue e instalación de muestras más sofisticadas como parte de ataques persistentes avanzados.
En este sentido, se está observando un aumento en el esfuerzo empleado por parte de ciertos grupos para desarrollar muestras destinadas a tareas de control de sistemas infectados y de exfiltración de datos basados en técnicas de covert channel (canal encubierto en inglés).
Un canal encubierto es un canal que puede ser usado para transferir información desde un usuario de un sistema a otro usando medios no destinados para este propósito por los desarrolladores del sistema. Para que la comunicación sea posible suele ser necesario un preacuerdo entre el emisor y el receptor que codifique el mensaje de tal forma que el receptor sea capaz de interpretarlo sin que un tercero pueda tener acceso a la información.
Existen multitud de formas de exfiltrar datos sensibles que utilizan técnicas de canales encubiertos. Desde la inserción de datos en los campos del protocolo TCP/IP, UDP, ICMP y DNS, hasta la ocultación de información en imágenes mediante técnicas de esteganografía, el abuso de infraestructura de terceros como pueden ser las redes sociales Twitter y Facebook o el uso de diferentes servicios de email como Gmail o Yahoo.
El informe de ElevenPaths pone foco en el malware que utiliza el servicio de correo de Gmail como canal encubierto para determinar el alcance de este tipo de técnicas que ya se han observado en el pasado.
Así, dominios de Gmail y otros proveedores de correo electrónico o incluso dominios relacionados con redes sociales podrían estar siendo utilizados para tomar el control de los sistemas de una organización. Es por ello que ElevenPaths recomienda realizar una monitorización en detalle de los mismos o incluso bloquearlos en el caso de sistemas que alberguen información sensible.
Por otro lado, con las tecnologías de defensa contra malware avanzado se realiza una monitorización exhaustiva del comportamiento del endpoint, por lo que esta aproximación permitiría analizar el comportamiento del mismo si un dominio o servicio, a priori legítimo, podría estar siendo utilizado con fines maliciosos.
