Ciberdelincuentes camuflan malware oculto en las URLs cortas de Twitter
Los ciberdelincuentes se están aprovechando de los acontecimientos del mundo real con altos volúmenes de tráfico en Twitter con el fin de publicar enlaces a sitios web que contienen malware.
Para combatir la amenaza los informáticos han creado un sistema inteligente para identificar enlaces maliciosos disfrazados con URLs acortadas en Twitter. El sistema se pondrá a prueba el próximo verano en el Campeonato Europeo de Fútbol. La investigación está co-financiada por el Consejo de Investigación de Ingeniería y Ciencias Físicas (EPSRC) y el Consejo de Investigación Económica y Social (ESRC), ambos del Reino Unido.
En un reciente estudio un equipo de la Universidad de Cardiff identificó potenciales ataques cibernéticos dentro de cinco segundos con hasta un 83% de precisión y dentro de los 30 segundos con hasta un 98% de precisión, cuando un usuario hace clic en un enlace publicado en Twitter y el malware comenzó a infectar el dispositivo (ver estudio abajo: "Real-time Classification of Malicious URLs on Twitter using Machine Activity Data").
Los científicos recogieron los tweets que contenían direcciones URLs durante la Superbowl 2015 y las finales de la Copa del mundo, y monitorearon interacciones entre una página web y el dispositivo de un usuario para reconocer las características de un ataque malicioso. Cuando se realizan cambios en la máquina del usuario, tales como la creación de nuevos procesos, modificación de archivos de registro o archivos manipulados, éstos muestran un ataque malicioso.
El equipo utilizó posteriormente la actividad del sistema, tales como bytes y paquetes intercambiados entre el dispositivo y el extremo remoto, el uso del procesador y el estado del adaptador de red, para entrenar a una máquina clasificadora y reconocer señales de predicción que pueden distinguir entre las direcciones URL maliciosas y benignas.
El Dr. Pete Burnap, Director del Laboratorio de Ciencias de Datos Sociales en la Universidad de Cardiff, y científico principal de la investigación, dijo: "Por desgracia, el alto volumen alrededor de eventos de tráfico a gran escala crea un ambiente perfecto para que los ciberdelincuentes lancen ataques subrepticios. Es bien sabido que las personas utilizan las redes sociales en línea como Twitter para encontrar información sobre un evento.
"Los atacantes pueden ocultar enlaces a servidores maliciosos en un tweet que se hace pasar por una pieza atractiva o informativa sobre el evento".
"Las URLs siempre se acortan en Twitter debido a las limitaciones de caracteres en los mensajes, así que es muy difícil saber cual son legítimas. Una vez infectado, el malware puede convertir el dispositivo en un ordenador zombie y formar parte de una red global de máquinas utilizadas para ocultar información o enrutar más ataques".
"En un informe de 2013 de Microsoft se identificaron estos "drive-by downloads" como uno de los riesgos más activos y comerciales a la seguridad cibernética.
"En este momento muchas soluciones antivirus existentes identifican malware utilizando firmas de código conocidas, que hacen que sea difícil de detectar en ataques invisibles anteriores".
El Profesor Omer Rana, investigador principal del proyecto, que también incluye al Royal Holloway, la Universidad de Londres, la City University de Londres, la Universidad de Plymouth y la Universidad de Durham, dijo:
"Estamos tratando de construir sistemas que puedan ayudar a las autoridades policiales a tomar decisiones en un panorama cambiante de Seguridad Cibernética. Los medios sociales agregan a la red una nueva dimensión de riesgos de seguridad. Este trabajo contribuye a una nueva visión de esto y esperamos avanzar en ese sentido, y desarrollar un sistema en tiempo real que pueda proteger a los usuarios en su búsqueda de información sobre los eventos del mundo real utilizando nuevas formas de fuentes de información".
"Tenemos la Eurocopa el próximo verano que viene que proporcionará un gran aumento en el tráfico de Twitter y esperamos subrayar-probar nuestro sistema utilizando este evento".
El profesor Philip Nelson, Director Ejecutivo de EPSRC, dijo: "El uso de los medios sociales es una parte integral de la vida moderna, vital para las organizaciones, empresas e individuos. El Reino Unido necesita operar en un entorno seguro y fiable y esta investigación ayudará a combatir estos ataques de criminales cibernéticos".
Notas:
• Un documento del estudio fue presentado en agosto de 2015 en la conferencia IEEE/ACM 2015 - International Conference on Advances in Social Networks Analysis and Mining. Los autores del estudio son Pete Burnap, Amir Javed, Omer F Rana y Malik S Awan.
• Twitter está siendo atacado por los delincuentes ya que las URLs de los enlaces web a menudo se acortan para ajustarse al límite de 140 caracteres. Los enlaces acortados son una cadena de letras por lo que es imposible para un usuario saber si se apunta a un sitio malicioso o benigno.
• Un ordenador zombie es el que se toma por una persona y controlado a distancia puede utilizarlo para lanzar nuevos ataques.
• Un drive-by download es donde el malware hace cambios no deseados en el dispositivo del usuario.