CIBERSEGURIDAD

Kaspersky Lab descubre Adobe Flash Zero Day, utilizado en la naturaleza por un actor de amenazas para distribuir software espía

0 73 2 minutos de lectura


El sistema avanzado de prevención de exploits de Kaspersky Lab ha identificado un nuevo exploit de día cero de Adobe Flash, utilizado en un ataque el 10 de octubre por un actor de amenazas conocido como BlackOasis. El exploit se entrega a través de un documento de Microsoft Word e implementa el malware comercial FinSpy. Kaspersky Lab ha informado de la vulnerabilidad a Adobe, que ha emitido un consultivo.
Según los investigadores de Kaspersky Lab, el día cero, CVE-2017-11292, se detectó en un ataque en vivo, y aconsejan a las empresas y organizaciones gubernamentales que instalen la actualización de Adobe de inmediato.
Los investigadores creen que el grupo detrás del ataque también fue responsable de CVE-2017-8759, otro día cero, informado en septiembre, y confían en que el actor de amenazas involucrado es BlackOasis, que el equipo de análisis e investigación global de Kaspersky Lab comenzó a rastrear. 2016.
El análisis revela que, tras la explotación exitosa de la vulnerabilidad, el malware FinSpy (también conocido como FinFisher) se instala en la computadora de destino. FinSpy es un malware comercial, que normalmente se vende a los estados nacionales y a las fuerzas del orden para realizar la vigilancia. En el pasado, el uso del malware era principalmente doméstico, y los organismos encargados de hacer cumplir la ley lo implementaban para vigilar objetivos locales. BlackOasis es una excepción significativa a esto, usándolo contra una amplia gama de objetivos en todo el mundo. Esto parece sugerir que FinSpy ahora está impulsando las operaciones de inteligencia global, con un país usándolo contra otro. Las empresas que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.
El malware utilizado en el ataque es la versión más reciente de FinSpy, equipado con múltiples técnicas anti-análisis para dificultar el análisis forense.
Después de la instalación, el malware establece un punto de apoyo en la computadora atacada y se conecta a sus servidores de comando y control ubicados en Suiza, Bulgaria y los Países Bajos, para esperar más instrucciones y exfiltrar datos.
Según la evaluación de Kaspersky Lab, los intereses de BlackOasis abarcan toda una gama de figuras involucradas en la política de Oriente Medio, incluidas figuras prominentes de las Naciones Unidas, blogueros y activistas de la oposición, así como corresponsales de noticias regionales. También parecen tener interés en verticales de particular relevancia para la región. Durante 2016, los investigadores de la compañía observaron un gran interés en Angola, ejemplificado por documentos de señuelos que indican objetivos con presuntos vínculos con el petróleo, el lavado de dinero y otras actividades. También hay interés en activistas y grupos de expertos internacionales.
Hasta ahora, se han observado víctimas de BlackOasis en los siguientes países: Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudita, Irán, Países Bajos, Bahrein, Reino Unido y Angola.
“El ataque que utiliza el exploit de día cero recientemente descubierto es la tercera vez este año que vemos la distribución de FinSpy a través de exploits para vulnerabilidades de día cero. Anteriormente, los actores que implementaban este malware abusaron de problemas críticos en los productos de Microsoft Word y Adobe. Creemos que la cantidad de ataques que dependen del software FinSpy, respaldados por exploits de día cero como el que se describe aquí, continuará creciendo.”, Dijo Anton Ivanov, analista principal de malware en Kaspersky Lab.
Las soluciones de seguridad de Kaspersky Lab detectan y bloquean con éxito las vulnerabilidades utilizando la vulnerabilidad recién descubierta.
Los expertos de Kaspersky Lab recomiendan a las organizaciones que tomen las siguientes medidas para proteger sus sistemas y datos contra esta amenaza:

  • Si aún no está implementado, use la función killbit para el software Flash y, siempre que sea posible, desactívela por completo.
  • Implemente una solución de seguridad avanzada de múltiples capas que cubra todas las redes, sistemas y puntos finales.
  • Eduque y capacite al personal en tácticas de ingeniería social, ya que este método se usa a menudo para hacer que una víctima abra un documento malicioso o haga clic en un enlace infectado.
  • Realice evaluaciones de seguridad periódicas de la infraestructura de TI de la organización.
  • Utilice Threat Intelligence de Kaspersky Lab que rastrea ciberataques, incidentes o amenazas y proporciona a los clientes información relevante actualizada que desconocen. Descubra más en [email protected].

Para obtener detalles técnicos, incluidos los indicadores de compromiso y las reglas de YARA, lea la publicación del blog en Securelist.com.

Publicaciones relacionadas

Violación masiva oculta de datos de Uber en 2016

GRC International Group aporta claridad a los informes de incumplimiento de GDPR con el lanzamiento de la ley GRCI.

Los investigadores lograron convertir a Google Home y Alexa en ladrones de credenciales

Aprenda a combatir estos tres monstruos de la ciberseguridad este Halloween y más allá

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar