Darkhotel, el virus que lleva 4 años espiando el WiFi de hoteles de lujo
Darkhotel, que aún sigue activo, tiene como objetivo a directivos asiáticos y estadounidenses que se alojan en hoteles de lujo de la región Asia-Pacífico.
Kaspersky Lab ha anunciado el descubrimiento de un virus al que ha denominado como Darkhotel y que utiliza la red wifi del hotel para identificar un objetivo y robar información sensible, gracias a un backdoor instalado. Resulta que este ha estado operando desde hace más de cuatro años robando datos confidenciales a ejecutivos de algunas empresas que viajaban al extranjero. Por el momento, continúa activo.
Los principales objetivos de Darkhotel son los altos ejecutivos de Estados Unidos y de Asia, que se instalaban en hoteles de lujo de la región Asia Pacifico, y así conseguían hacerse con información confidencial sobre grandes empresas.
Según lo que ha descubierto Kaspersky Lab, los cibercriminales nunca se dirigen al mismo ejecutivo dos veces y realizan operaciones con gran precisión, “obteniendo todos los datos valiosos que pueden desde el primer contacto, borrando las huellas de su trabajo y esperando en un segundo plano la próxima víctima de alto perfil”, tal y como explican los analistas de la firma de seguridad. Entre los objetivos más
El actor Darkhotel, que aún sigue activo, cuenta con una serie de intrusiones eficaces en redes de hoteles, proporcionando un amplio acceso a lo largo de los años, incluso a sistemas que se cree que son privados y seguros. Cuando la víctima llega al hotel y se conecta a la red WiFi no segura, que muchas veces solicita el número de habitación y apellido en el inicio de sesión, los atacantes lo detectan en la red comprometida y lo engañan para descargar e instalar un backdoor que se hace pasar por una actualización de software legítimo: por ejemplo, barra de herramientas de Google, Adobe Flash o Windows Messenger.
Este backdoor puede ser usado para descargar más herramientas avanzadas: un keylogger avanzado firmado digitalmente, el troyano ‘Karba’ y un módulo de información para robar. Dicen desde Kaspersky que “estas herramientas recopilan datos sobre el sistema y el software anti-malware instalado en él, roba todas las pulsaciones de teclado y las contraseñas y credenciales de acceso almacenadas en caché en Firefox, Chrome e Internet Explorer;o en las herramientas Gmail Notifier, Twitter, Facebook, Yahoo! y Google y otra información privada”.
Según Kurt Baumgartner, analista principal de seguridad de Kaspersky Lab, “los métodos y técnicas utilizados van más allá de los que suelen emplear los cibercriminales. Este actor amenaza tiene competencia operacional, capacidad ofensiva matemáticas y cripto-analítica”. Sin embargo, la actividad maliciosa de Darkhotel puede ser inconsistente: es indiscriminada en su propagación de malware aunque sus ataques son muy concretos.
Para evitarlo, Kaspersky Lab ha elaborado una serie de consejos. Dice a los usuarios que deben elegir una red privada virtual (VPN), que consideren bien las actualizaciones de software sospechosas y que confirmen que la instalación de la actualización propuesta está firmada por el proveedor correspondiente.