Bancos asiáticos y africanos atacados con una vulnerabilidad día-cero
Comunicaciones Hoy23/11/2016
El equipo de analistas de Kaspersky Lab ha descubierto ataques que parecen estar utilizando una vulnerabilidad de día-cero en el editor de texto de InPage. InPage es un paquete de software utilizado por personas de habla urdú y árabe, así como por organizaciones de todo el mundo. El exploit se ha utilizado en ataques contra bancos en varios países asiáticos y africanos.
InPage lo utilizan medios de comunicación, así como instituciones gubernamentales y financieras, como bancos, que trabajan con textos escritos en Perso-Árabe. Según el sitio web de InPage, además de India y Pakistán, donde el software es muy común, hay miles de usuarios en otros países como Reino Unido, Estados Unidos, Canadá, varios países de la Unión Europea, Sudáfrica, Bangladesh y Japón. El número total de usuarios de InPage es de casi 2 millones en todo el mundo.
Las organizaciones atacadas identificadas por los analistas de Kaspersky Lab se encuentran en Myanmar, Sri Lanka y Uganda.
Ejemplo de correo electrónico que contiene un documento malicioso de InPage.
El exploit llega a la víctima a través de un correo electrónico sprear-phishing con el documento infectado adjunto. Al explotar con éxito la vulnerabilidad, el malware informa a un servidor de comando y control y descarga herramientas legítimas de acceso remoto. En algunos casos descarga programas maliciosos basados en el código fuente del troyano bancario ZeuS.
El uso de este conjunto de herramientas es típico de los cibercriminales financieros y varía de víctima a víctima, al igual que los servidores de comando y control desde los que se descargan las herramientas.
Días-cero localizados
No es la primera vez que se utiliza un software "local" específico para infectar a víctimas en un ciberataque. En 2013, los analistas de Kaspersky Lab observaron tácticas similares en los ataques atribuidos a la campaña Icefog. En esa ocasión, se usaron documentos HWP maliciosos que se utilizan para trabajar con Hangul Word Processor, una aplicación para procesar texto muy común en Corea del Sur.
"El uso de vulnerabilidades en un software específico con una presencia global relativamente baja y un público objetivo muy concreto es una técnica fácil de entender. Los ciberatacantes ajustan sus tácticas al comportamiento de su target mediante el desarrollo de exploits para software personalizado. Dado que el software local no es un objetivo común de los creadores de exploits, siguen siendo viables durante mucho tiempo" afirma Denis Legezo, experto en seguridad de Kaspersky Lab GReAT.
Gracias a una amplia gama de tecnologías, los usuarios de las soluciones de Kaspersky Lab ya están protegidos contra este ataque desde hace tiempo y se han bloqueado una serie de documentos maliciosos de InPage. Los productos de Kaspersky Lab detectan correctamente el exploit de InPage con el siguiente nombre de detección: HEUR: Exploit.Win32.Generic.
Los analistas de Kaspersky Lab aún no están al tanto de ningún incidente real que involucre el robo de dinero como resultado de infecciones usando el exploit de InPage. Sin embargo, esto no significa que tales ataques no estén sucediendo. Por lo tanto, se aconseja a las organizaciones financieras que verifiquen sus sistemas ante la presencia de estas amenazas y apliquen las siguientes medidas:
InPage lo utilizan medios de comunicación, así como instituciones gubernamentales y financieras, como bancos, que trabajan con textos escritos en Perso-Árabe. Según el sitio web de InPage, además de India y Pakistán, donde el software es muy común, hay miles de usuarios en otros países como Reino Unido, Estados Unidos, Canadá, varios países de la Unión Europea, Sudáfrica, Bangladesh y Japón. El número total de usuarios de InPage es de casi 2 millones en todo el mundo.
Las organizaciones atacadas identificadas por los analistas de Kaspersky Lab se encuentran en Myanmar, Sri Lanka y Uganda.
Ejemplo de correo electrónico que contiene un documento malicioso de InPage.
El exploit llega a la víctima a través de un correo electrónico sprear-phishing con el documento infectado adjunto. Al explotar con éxito la vulnerabilidad, el malware informa a un servidor de comando y control y descarga herramientas legítimas de acceso remoto. En algunos casos descarga programas maliciosos basados en el código fuente del troyano bancario ZeuS.
El uso de este conjunto de herramientas es típico de los cibercriminales financieros y varía de víctima a víctima, al igual que los servidores de comando y control desde los que se descargan las herramientas.
Días-cero localizados
No es la primera vez que se utiliza un software "local" específico para infectar a víctimas en un ciberataque. En 2013, los analistas de Kaspersky Lab observaron tácticas similares en los ataques atribuidos a la campaña Icefog. En esa ocasión, se usaron documentos HWP maliciosos que se utilizan para trabajar con Hangul Word Processor, una aplicación para procesar texto muy común en Corea del Sur.
"El uso de vulnerabilidades en un software específico con una presencia global relativamente baja y un público objetivo muy concreto es una técnica fácil de entender. Los ciberatacantes ajustan sus tácticas al comportamiento de su target mediante el desarrollo de exploits para software personalizado. Dado que el software local no es un objetivo común de los creadores de exploits, siguen siendo viables durante mucho tiempo" afirma Denis Legezo, experto en seguridad de Kaspersky Lab GReAT.
Gracias a una amplia gama de tecnologías, los usuarios de las soluciones de Kaspersky Lab ya están protegidos contra este ataque desde hace tiempo y se han bloqueado una serie de documentos maliciosos de InPage. Los productos de Kaspersky Lab detectan correctamente el exploit de InPage con el siguiente nombre de detección: HEUR: Exploit.Win32.Generic.
Los analistas de Kaspersky Lab aún no están al tanto de ningún incidente real que involucre el robo de dinero como resultado de infecciones usando el exploit de InPage. Sin embargo, esto no significa que tales ataques no estén sucediendo. Por lo tanto, se aconseja a las organizaciones financieras que verifiquen sus sistemas ante la presencia de estas amenazas y apliquen las siguientes medidas:
- Asegúrate de tener una solución de seguridad corporativa, capaz de capturar exploits, como Kaspersky Endpoint Security for Business.
- Forma al personal de la empresa para que no abra archivos adjuntos o URL en correos electrónicos enviados desde fuentes desconocidas.
- Utiliza las versiones más recientes del software en los endpoints de tu empresa. Evita el uso de software que se sabe que es vulnerable. Para automatizar estas tareas, utiliza las soluciones de evaluación de vulnerabilidades y administración de revisiones.
- Suscríbete servicios de inteligencia de amenazas profesional, como el servicio de informes APT de Kaspersky Lab, para obtener acceso instantáneo a información procesable sobre los ciberataques más recientes que pueden dirigirse a tu organización.
