El avanzado sistema de prevención de exploits de Kaspersky Lab ha identificado uno nuevo exploit de día cero en Adobe Flash, usado en un ataque el 10 de octubre dentro de la campaña conocida como BlackOasis. El vector inicial de ataque del exploit es vía un documento de Microsoft Word que instala el malware comercial FinSpy. Kaspersky Lab ha informado sobre esta vulnerabilidad a Adobe, quien emitió un aviso al respecto.
Según los investigadores de Kaspersky Lab, el día cero, CVE-2017-11292, fue detectado en un ataque real, y aconsejan a las empresas y organizaciones gubernamentales instalar de inmediato la actualización de Adobe.
Los investigadores creen que el grupo detrás del ataque también fue responsable de CVE-2017-8759, otro día cero reportado en septiembre, y confían en que el actor de amenazas involucrado sea BlackOasis, el cual el Equipo Global de Investigación y Análisis de Kaspersky Lab comenzó a rastrear en 2016.
El análisis revela que, una vez que se explota con éxito la vulnerabilidad, el malware FinSpy (también conocido como FinFisher) queda instalado en la computadora destino. FinSpy es un malware comercial que generalmente se vende a Estados-Nación y agencias del orden público para llevar a cabo tareas de vigilancia. En el pasado, el uso del malware era principalmente doméstico, y las agencias del orden público lo implementaban para la vigilancia de objetivos locales. BlackOasis es una excepción importante en este sentido: al usarlo contra una variedad de objetivos en todo el mundo. Esto parece sugerir que FinSpy está alimentando las operaciones de inteligencia global, con un país que lo usa contra otro. Las compañías que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.
El malware utilizado en el ataque es la versión más reciente de FinSpy, equipada con múltiples técnicas anti-análisis para dificultar el análisis forense.
Después de la instalación, el malware establece un punto de apoyo en la computadora atacada y se conecta a sus servidores de mando y control ubicados en Suiza, Bulgaria y los Países Bajos, a la espera de más instrucciones y exfiltrar la información.
Basado en la evaluación de Kaspersky Lab, los intereses de BlackOasis abarcan una amplia gama de figuras involucradas en la política de Medio Oriente, que incluyen figuras prominentes en las Naciones Unidas, blogueros y activistas de oposición, así como corresponsales de noticias regionales. También parecen tener interés en verticales de particular relevancia para la región. Durante 2016, los investigadores de la compañía observaron un gran interés en Angola, lo que ha quedado de manifiesto por documentos que han servido como señuelos que señalan objetivos con presuntos vínculos con el petróleo, el lavado de dinero y otras actividades. También hay un interés en activistas internacionales y organizaciones que hacen investigaciones o actividades de promoción.
Hasta el momento, se han observado víctimas de BlackOasis en los siguientes países: Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudita, Irán, Países Bajos, Baréin, Reino Unido y Angola.
«El ataque utilizando el exploit de día cero descubierto recientemente es el tercero en el transcurso del año en el que hemos visto la distribución de FinSpy a través de exploits de vulnerabilidad de día cero. Anteriormente, los agentes que implementaban este malware aprovechaban fallas críticas en los productos de Microsoft Word y Adobe. Creemos que el número de ataques basados en el software FinSpy, respaldado por exploits de día cero como el que se describe aquí, continuará creciendo», dijo Anton Ivanov, analista principal de malware para Kaspersky Lab.
Las soluciones de seguridad de Kaspersky Lab detectan y bloquean los exploits que utilizan la vulnerabilidad recientemente descubierta.
Los expertos de Kaspersky Lab aconsejan a las organizaciones que tomen las siguientes medidas para proteger sus sistemas y sus datos contra esta amenaza:
- Si aún no está implementada, use la función killbit para el software Flash y, siempre que sea posible, deshabilítelo por completo.
- Implemente una solución de seguridad avanzada y de varias capas que abarque todas las redes, sistemas y terminales.
- Sensibilice y capacite al personal sobre las tácticas de ingeniería social, ya que este método se usa a menudo para que la víctima abra un documento malicioso o haga clic en un enlace infectado.
- Realice evaluaciones periódicas de seguridad a la infraestructura de TI de la organizació
- Utilice la inteligencia contra amenazas de Kaspersky Lab que rastrea los ataques cibernéticos, incidentes o amenazas y proporciona a los clientes información actualizada y pertinente que desconocen.
- Obtenga más información en [email protected].
Para obtener detalles técnicos, incluidos los indicadores de compromiso y las normas YARA, por favor visite nuestro blogpost en Securelist.com.