La ha utilizado un grupo cibercriminal desconocido en un intento de hacerse con el control total de un dispositivo concreto. El ataque se lanzó contra el centro del sistema, su núcleo, utilizando un backdoor construido a partir de un elemento esencial del sistema operativo Windows.
Los backdoors o puertas traseras son un tipo de malware que permiten controlar de forma muy discreta los dispositivos infectados, con fines maliciosos. Este tipo de privilegios para un tercero suele ser algo difícil de ocultar para una solución de seguridad. Sin embargo, un backdoor que se aprovecha de un error previamente desconocido en el sistema, como las vulnerabilidades zero day, tiene muchas más posibilidades de pasar desapercibido. Las soluciones de seguridad estándares no llegan a identificar esa infección del sistema ni pueden proteger a los usuariosante algo que no se sabe lo que es ni si existe.
Sin embargo, en esta ocasión la tecnología de prevención de exploits de Kaspersky Lab ha sido capaz de detectar cómo los cibercriminales intentaban aprovechar una vulnerabilidad desconocida. Una vez que el archivo malicioso .exe se ejecutó, comenzó la instalación del malware. La infección utilizó una vulnerabilidad zero day y consiguió hacerse con privilegios para permanecer dentro del equipo de la víctima. Utilizando un marco de scripting llamado Windows PowerShell, un elemento legítimo de Windows presente en todas las máquinas que utilizan este sistema operativo, el malware ejecutó un backdoor.
Esto permitía a los cibercriminales pasar desapercibidos, ahorrándoles tiempo en la escritura del código de las herramientas maliciosas. El malware, a continuación, descargó otro backdoor desde un popular servicio de almacenamiento de texto, dando a los cibercriminales el control total sobre el sistema infectado.
“En el ataque pudimos observar dos tendencias principales que a menudo vemos en las APT (Advanced Persistent Threats). Primero está el uso de exploits de privilegios locales para permanecer dentro de la máquina de la víctima. Segundo es el uso de elementos legítimos, como Windows PowerShell, para llevar a cabo actividades maliciosas dentro de la máquina de la víctima. La combinación de ambas aporta a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y de detección de comportamientos”, explica Anton Ivanov, experto de seguridad en Kaspersky Lab,
Microsoft fue informado de la vulnerabilidad y ya ha lanzado un parche correctivo. De todas formas, desde Kaspersky aconsejas seguir las siguientes medidas de seguridad para evitar ser víctima de este tipo de malware:
- Una vez que la vulnerabilidad está parcheada y el parche descargado, los actores de amenazas pierden la oportunidad de utilizarla. Instalar el parche disponible de Microsoft cuanto antes.
- Asegurarse de que actualizamos regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
- Utilizar una solución de seguridad probada para protegerse frente a amenazas desconocidas.
- Asegurarse de que el equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas.
- Finalmente, asegurarse que la plantilla está formada en las medidas más elementales de ciberseguridad.
Fuente: globbsecurity.com