El ataque se produce por medio de un exploit incluido en un documento de Microsoft Word que instala el malware comercial FinSpy. Los expertos de la empresa Kaspersky Lab informaron sobre esta vulnerabilidad a Adobe, quien emitió un aviso al respecto. La solución consiste en instalar de inmediato la actualización de Adobe.
Los expertos de Kaspersky Lab creen que el grupo detrás del ataque también fue responsable del CVE-2017-8759, otro día cero reportado en septiembre, y consideran que se trata del denominado BlackOasis, el cual el Equipo Global de Investigación y Análisis de Kaspersky Lab comenzó a vigilar en 2016.
El análisis del ataque reveló que, una vez que se explota con éxito la vulnerabilidad, el malware FinSpy (también conocido como FinFisher) queda instalado en la computadora destino. FinSpy es un malware comercial que generalmente se vende a Estados-Nación y agencias del orden público para llevar a cabo tareas de vigilancia. En el pasado, el uso del malware era principalmente doméstico, y las agencias del orden público lo implementaban para la vigilancia de objetivos locales. BlackOasis es una excepción importante en este sentido: al usarlo contra una variedad de objetivos en todo el mundo. Esto parece sugerir que FinSpy está alimentando las operaciones de inteligencia global, con un país que lo usa contra otro. Las compañías que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.
El malware utilizado en el ataque es la versión más reciente de FinSpy, equipada con múltiples técnicas antianálisis para dificultar el análisis forense.
Después de la instalación, el malware establece un agente en la computadora atacada y se conecta a sus servidores de mando y control ubicados en Suiza, Bulgaria y los Países Bajos, a la espera de más instrucciones y exfiltrar la información.
Basado en la evaluación de Kaspersky Lab, los intereses de BlackOasis abarcan una amplia gama de figuras involucradas en la política de Medio Oriente, que incluyen figuras prominentes en las Naciones Unidas, blogueros y activistas de oposición, así como corresponsales de noticias regionales. También parecen tener interés en verticales de particular relevancia para la región. Durante 2016, los investigadores de la compañía observaron un gran interés en Angola, lo que ha quedado de manifiesto por documentos que han servido como señuelos que señalan objetivos con presuntos vínculos con el petróleo, el lavado de dinero y otras actividades. También hay un interés en activistas internacionales y organizaciones que hacen investigaciones o actividades de promoción.
Hasta el momento, se han observado víctimas de BlackOasis en los siguientes países: Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudita, Irán, Países Bajos, Baréin, Reino Unido y Angola.
«El ataque utilizando el exploit de día cero descubierto recientemente es el tercero en el transcurso del año en el que hemos visto la distribución de FinSpy a través de exploits de vulnerabilidad de día cero. Anteriormente, los agentes que implementaban este malware aprovechaban fallas críticas en los productos de Microsoft Word y Adobe. Creemos que el número de ataques basados en el software FinSpy, respaldado por exploits de día cero como el que se describe aquí, continuará creciendo», dijo Anton Ivanov, analista principal de malware para Kaspersky Lab.
RECOMENDACIONES:
- Si aún no está implementada, use la función killbit para el software Flash y, siempre que sea posible, deshabilítelo por completo.
- Implemente una solución de seguridad avanzada y de varias capas que abarque todas las redes, sistemas y terminales.
- Sensibilice y capacite al personal sobre las tácticas de ingeniería social, ya que este método se usa a menudo para que la víctima abra un documento malicioso o haga clic en un enlace infectado.
- Realice evaluaciones periódicas de seguridad a la infraestructura de IT de la organización.
