WaterDrop Malware

El malware WaterDrop es parte de varios binarios corruptos recientemente descubiertos que se utilizan en ataques que infectan instalaciones de Linux. La familia de malware fue descubierta por primera vez por los investigadores de seguridad de información de Alien Labs de AT&T. Su análisis reveló que todas las amenazas utilizaron una puerta trasera de código abierto llamada Prism como base sobre la cual los atacantes introdujeron modificaciones lentamente.

Las amenazadoras capacidades de WaterDrop son sorprendentemente básicas. Al mismo tiempo, carece de técnicas sofisticadas de ocultación u ocultación. De hecho, los investigadores afirman que WaterDrop contiene varias características fácilmente identificables. Sin mencionar que se comunica con la infraestructura de Comando y Control (C2, C&C) a través de HTTP de texto sin formato. Sin embargo, a juzgar por la eficacia de la campaña de ataque, pocas personas habrían adivinado que este es el caso.

El dominio relacionado con la campaña WaterDrop se registró el 18 de agosto de 2017 y casi 4 años después sigue en línea y operativo. A pesar del uso prolongado, WaterDrop ha logrado alcanzar y mantener un puntaje de detección cercano a cero, lo que significa que ha podido volar por debajo del radar durante años sin ser detectado. Hasta ahora, la explicación más plausible es que la alta tasa de éxito se logró manteniendo la campaña de ataque a una escala extremadamente pequeña.

Los ciberdelincuentes detrás de WaterDrop y su familia de malware asociado han estado actualizando su conjunto de herramientas amenazante lentamente y se espera que continúen con sus actividades.