Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Ataque de día cero elude parche para Sandworm
Aunque la vulnerabilidad de Sandworm ha fue parchada, los atacantes han descubierto una manera de eludir el parche y continuar con sus ataques dirigidos.
"Al igual que con Sandworm, estos ataques utilizan como medio de infección, una vez más, documentos de Power Point infectados, enviados como adjuntos de correos electrónicos", advirtieron investigadores de Symantec. "Los ataques están siendo usados para distribuir al menos dos diferentes payloads (parte útil de la información transmitida): Trojan.Taidoor y Backdoor.Darkmoon (También conocidos como Poison Ivy)."
El primero puede estar vinculado con un grupo de ciberespionaje que tiene un historial de ataques de explotaciones de vulnerabilidades de día cero y ha dirigido recientemente sus ataques a agencias e institutos educativos taiwaneses.
El segundo es ampliamente usado como puerta trasera, pero su variante particular parece haber sido creada antes de conocerse los primeros ataques de Sandworm, lo que lleva a los investigadores a especular que los atacantes tuvieron acceso a la vulnerabilidad desde antes del 14 de octubre.
"Mientras que la vulnerabilidad original (CVE-2014-4114) estaba embebida en archivos OLE que vinculaban archivos externos, la más nueva vulnerabilidad (CVE-2014-6352) hace referencia a archivos OLE que tienen payloads ejecutables embebidos dentro de ellos", explicaron los investigadores.
Aún no hay parche para la segunda vulnerabilidad, pero Microsofr ha ofrecido un Fix It (programa diagnóstico que permite detectar problemas) y soluciones para bloquear los vectores de ataque conocidos. También ha recomendado a los usuarios no abrir archivos de Power Point o cualquier otro archivo de Office descargado desde fuentes desconocidas. La vulnerabilidad afecta a todas las versiones de Windows.
"En este nuevo ataque, el archivo .EXE malicioso y el .INF están ya embebidos dentro de los objetos OLE, en lugar de descargar el malware de un sitio remoto. Una ventaja de este enfoque es que no requerirá que la computadora se conecte a la ubicación de la descarga, evitando así cualquier detección del Sistema de Prevención de Intrusiones a la Red (NIPS)," hizo notar Ronnie Giagone, analista de amenazas de Trend Micro, y compartió aspectos técnicos del ataque.
Trend Micro y iSight Partners también han estado monitoreando las actividades del equipo de Sandworm, según dicen, los atacantes se dirigen a sistemas de controles industriales (ICS), WinCC, Siemens HMI y SCADA software.
