La nueva pasarela de malware - Última parte

Y por último en este desfile, aunque no son las únicas tendencias, comentar que la idea es utilizar algún servicio público en Internet a través del cual se pueda solicitar una web, es decir, que pueda funcionar como proxy-web. El ejemplo: el traductor de Google, el cual permite traducir páginas web en su totalidad, mientras que la ejecutan.

Además, en este caso, las comunicaciones generadas van cifradas, lo que dificulta el uso de IPS/IDS o cualquier otro elemento de seguridad a nivel de red que se utilice. Además, el cifrado dificulta cualquier tipo de análisis por parte de un analista.

Más información:

https://www.securityartwork.es/2017/02/28/volvamos-al-collins/

PoC

Imaginad que se "contrata" un dominio y espacio para el mismo en Internet, en donde se dejará el "regalo" malicioso, o mejor, se accede de "aquella manera" al siguiente recurso, dejando en el mismo, "el regalo"

http://science.sciencemag.org/content/355/6330/1112

Tras lo cual se monta una campaña ... en este caso supondremos que hemos recibido por ejemplo, un ".html" con el siguiente contenido:

Contenido del archivo ".html" que se recibe.

Cuando se ejecuta dicho código obtenemos.

Resultado final de la ejecución de la página ".html" ejecutada

Del tráfico "snifado", se comprueba las comunicaciones realizadas directamente al sitio:

science.sciencemag.org

Del tráfico "snifado", se comprueba las comunicaciones realizadas directamente al sitio:

translate.google.com

La comunicación va cifrada.

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.