Seguridad
Los ciberdelincuentes aumentan su capacidad de aprovechar vulnerabilidades de día cero
Los ataques “Zero Day” son los que aprovechan fallos de software recién descubiertos para los que aún no hay parche
HP, a través del equipo de investigación de amenazas de HP Wolf Security, ha detectado un aumento en la capacidad de los ciberdelincuentes para aprovechar las vulnerabilidades de día cero (zero day), que exigen rapidez a las empresas para preparar un parche que evite que los equipos se vean comprometidos. Una vulnerabilidad de día cero es un fallo de seguridad de software recien descubierto, por lo que el desarrollador no dispone aún de ninguna solución.
El equipo de investigación de amenazas de HP Wolf Security encontró pruebas de que los ciberdelincuentes están aumentando la capacidad de aprovechar este tipo de vulnerabilidades, como muestra en el informe global HP Wolf Security Threat Insights, a partir de los datos de los millones de endpoints que ejecutan HP Wolf Security, recogidos entre julio y septiembre de 2021.
Concretamente, la compañía cita el ataque zero day CVE-2021-40444, una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office, registrada por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.
El 10 de septiembre, tres días después del boletín inicial de amenazas, el equipo de investigación de amenazas de HP observó que se compartían scripts en la plataforma GitHub, diseñados para automatizar la creación de este exploit.
Esta vulnerabilidad utiliza un archivo malicioso de un documento de Office que permite desplegar el malware. El ataque no requiere ninguna acción por parte del usuario, ya que se inicia con ver el archivo en el panel de vista previa del explorador de archivos. Una vez comprometido el dispositivo, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse a grupos de ransomware.
Desde HP señalan que a menos que sea parcheado, el exploit permite a los delincuentes comprometer los dispositivos sin interacción del usuario. Y el tiempo de respuesta es importante. “El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta ‘ventana de vulnerabilidad’”, ha apuntado el responsable de HP Wolf Security, Melchor Sanz.
El directivo explica que este tipo de vulnerabilidad, inicialmente explotada por los hackers altamente capacitados, en la actualidad son accesibles a un mayor número de actores con menos conocimientos y recursos, ya que las secuencias de comandos automatizadas han bajado el listón de entrada.
“Esto aumenta sustancialmente el riesgo para las empresas, ya que los exploits o vulnerabilidades zero day se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos”, indica Sanz.
Otras amenazas notables
El equipo de HP Wolf Security ha identificado un aumento de los ciberdelincuentes que utilizan proveedores legítimos de la nube y de la web para alojar malware, como en una reciente campaña de GuLoader, que alojaba el troyano de acceso remoto (RAT) Remcos en plataformas como OneDrive para evadir los sistemas de detección y pasar las pruebas de listas blancas.
Asimismo, detectaron una campaña de propagación de varias RAT de JavaScript que se distribuyen a través de archivos adjuntos de correo electrónico. Los ficheros descargados de JavaScript tienen un índice de detección más bajo que los de Office o los binarios.
También encontraron una campaña dirigida que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda, que utilizaba la técnica de typosquatting -utilizando una dirección web falsa similar a un nombre de dominio oficial- para atraer a los objetivos a un sitio que descarga un documento de Word malicioso.
Otra de las amenzas detectadas se refiere la propagación de malware con un solo clic con archivos HTA (aplicación HTML). Un ejemplo es el troyano Trickbot, que despliega el malware en cuanto se abre el archivo adjunto que lo contiene. Al ser un tipo de archivo poco común, es menos probable que las herramientas detecten los archivos HTA maliciosos.
✕
Accede a tu cuenta para comentar