Así funciona 'Dark Hotel', el 'malware' para ejecutivos que se alojan en hoteles de lujo

Lleva operando de forma impune desde hace ya cuatro años. Su modus operandi es siempre el mismo. Se aprovecha de la redwifi de los hoteles para acceder a sus víctimas (principalmentedirectivos de empresas), y de esta forma engañarlespara que instalen un backdoor. A partir de ahí tiene vía libre para acceder a todala información y dinero que manejen.Pero lo peor de todo es que, a pesar de que se conoce perfectamente cómo funciona, todavía sigue libre.

Hablamos de Dark Hotel, un malware que está causando estragos entre muchos usuarios. Los cibercriminales que lo utilizannunca se dirigen al mismo ejecutivo dos veces y realizan operaciones con precisión quirúrgica, obteniendo todos los datos valiosos que pueden desde el primer contacto, borrando las huellas de su trabajo y esperando en un segundo plano a la próxima víctima de alto perfil.

En todos estos casos trabajade la misma forma. Rastreala red hasta que detectaa un cliente en concreto que se conecta al wifidel hotelydespués leengañapara que descargueun backdoor,que se hacepasar por una actualización de software legítimo como por ejemploAdobe Flash o Windows Messenger. Es entonces cuando ladescargade esta especie depaquete de bienvenida infecta el dispositivocon el software de espionaje de Dark Hotel.

Una vez en el sistema, el backdoor puede ser utilizado también para descargar más herramientas avanzadas: un keylogger avanzado firmado digitalmente, el troyano Karba oun módulo de información para robar. Estas herramientas recopilan datos sobre el sistema y el software antivirus instalado en él, roban las contraseñas y credenciales de acceso almacenadas en caché en Firefox, Chrome e Internet Explorer, así como Twitter, Facebook, Yahoo! y Google; además deotra información privada.

Un virus que se aprovecha de la red wifi pública

"Lo que hace particular a este ataque es la excepción de los hoteles y sus víctimas. Cuando ciertos huéspedes se conectan a internet reciben una actualización falsa que generalmente se instalan. Con esto introducen el código malicioso. Estas víctimas son ejecutivos de empresas con cargos importantes. Son ataques dirigidos a personas en concreto", ha explicado a Teknautas Vicente Díaz, analista de Kaspersky.

El hecho de que la víctima y el atacante se encuentren en la misma red local otorga mucha ventaja a este último. Por esto muchos ciberdelincuentes se aprovechan de wifis públicas y lugares donde saben que el perfil del usuario de internet es alto, como por ejemplo hoteles de lujo o aeropuertos.

Las medidas que se pueden tomar en estos casos son similares a las que deben seguirse en el supuestode conectarse a una red wifi pública. Es decir,utilizarlas sólo cuando es estrictamente necesario y en el caso de hacerlo, desconfiar. Lo que implicano descargarseactualizaciones.

El problema, según de la Cuadra, es que "muchos usuarios aprovechan las redes wifi públicas precisamente para descargar actualizaciones y de esta forma no gastar datos".

Entre otras medidas de seguridad a tener en cuenta también destaca la de utilizar una red privada virtual (VPN), en el caso de realizar descargas asegurarse de que están firmadas por el proveedor correspondiente o comprobarque la solución de seguridad que tengamos incluyala defensa proactiva contra amenazas nuevas, y no sólo la básica.