Ataques que usan exploits para Office se cuadruplicaron a inicios de 2018: Kaspersky Lab
Los exploits, software que se aprovecha de un error o vulnerabilidad, para Microsoft Office propagados libremente ingresaron a la lista de ataques cibernéticos durante el primer trimestre de 2018. En general, el número de usuarios atacados con documentos de Office maliciosos aumentó más de cuatro veces, en comparación con el primer trimestre de 2017. En solo tres meses, la participación en la distribución de exploits utilizados en los ataques creció a casi el 50%, el doble de la cantidad promedio de exploits para Office en 2017. Estos son los principales hallazgos del informe de Kaspersky Lab sobre la evolución de las amenazas de TI.
Los ataques basados en esos exploits se consideran muy potentes, ya que no requieren interacciones adicionales con el usuario y pueden transmitir su código malicioso de forma discreta. Por lo tanto, son ampliamente utilizados, tanto por ciberdelincuentes que buscan ganancias como por medios más complejos respaldados por estados con fines maliciosos, abundó la firma.
El primer trimestre de 2018 experimentó un flujo masivo de estas vulnerabilidades, dirigidas al software Office. Según los expertos de Kaspersky Lab, es probable que sea un máximo de una tendencia más prolongada, ya que se identificaron al menos diez exploits de propagación libre en Office en 2017-2018, en comparación con dos exploits de día cero para el Adobe Flash Player propagado libremente durante el mismo período de tiempo.
Se espera que la participación de este último en la distribución de los exploits utilizados en los ataques disminuya (algo menos del 3% en el primer trimestre). Adobe y Microsoft han emprendido acciones para dificultar la explotación del Flash Player, indicó Kaspersky.
Después de descubrir una vulnerabilidad, los ciberdelincuentes preparan un exploit listo para usar. Psteriormente, los atacantes a menudo utilizan una técnica conocida como spear phishing como vector de infección para afectar usuarios y empresas a través de correos electrónicos con archivos adjuntos maliciosos. Peor aún, tales vectores de ataques de suplantación de identidad son usualmente discretos y se usan activamente en ataques dirigidos más complejos. Tan solo en los últimos seis meses hubo muchos ejemplos de este tipo de evento, explicó la firma en seguridad.
Agregó que en otoño de 2017, sus sistemas de prevención de vulnerabilidades identificaron un nuevo exploit de día cero en Adobe Flash propagado libremente contra sus clientes. El exploit se transmitió a través de un documento de Office y la carga final fue la versión más reciente del malware FinSpy. El análisis de la carga permitió vincular con seguridad este ataque a un agente conocido como «BlackOasis». El mismo mes, los expertos de Kaspersky Lab publicaron un análisis de СVE-2017-11826, la vulnerabilidad de día cero utilizada para lanzar ataques dirigidos, en todas las versiones de Office. El exploit para esta vulnerabilidad es un documento RTF que contiene un documento DOCX que explota el СVE-2017-11826 en el analizador sintáctico Office Open XML. Finalmente, hace solo un par de días, se publicó información sobre la vulnerabilidad de día cero CVE-2018-8174 para Internet Explorer. Esta vulnerabilidad también se usó en ataques dirigidos.
«El panorama de amenazas en el primer trimestre nos muestra que la falta de atención a la gestión de parches es uno de los peligros cibernéticos más importantes. Aunque los proveedores generalmente emiten parches para las vulnerabilidades, los usuarios a menudo no pueden actualizar sus productos a tiempo, lo que resulta en olas de ataques discretos y eficaces», señaló Alexander Liskin, experto en seguridad para Kaspersky Lab.
Otras estadísticas de las amenazas en línea publicadas en el informe incluyen:
–Las soluciones de la marca detectaron y bloquearon 796,806,112 ataques maliciosos de recursos en línea ubicados en 194 países alrededor del mundo.
–282,807,433 URLs únicos fueron reconocidos como maliciosos por componentes de antivirus en la web.
–204,448 computadoras de usuarios registraron tentativas de infecciones con malware dirigido a robar dinero mediante el acceso en línea a las cuentas bancarias.
–El antivirus de archivos detectó un total de 187,597,494 objetos maliciosos y no deseados.
–Productos de seguridad móvil de la marca detectaron 1,322,578 paquetes de instalación maliciosos y 18,912 troyanos bancarios móviles (paquetes de instalación).
Para reducir el riesgo de infección, se recomienda a los usuarios
–Mantener actualizado el software instalado en su PC y activar la función de actualización automática, si está disponible.
–Optar por un proveedor de software que demuestre un enfoque responsable ante un problema de vulnerabilidad. Comprobar si el proveedor tiene su propio programa de recompensas de errores.
–Utilizar soluciones de seguridad que cuenten con funciones especiales para protegerse contra exploits, como Automatic Exploit Prevention (Prevención automática de vulnerabilidades).
–Realizar regularmente un escaneo del sistema.
–Las empresas deben usar una solución de seguridad que proporcione componentes de vulnerabilidad, administración de parches y prevención de exploits, como Endpoint Security for Business. La función de administración de parches elimina las vulnerabilidades automáticamente y las repara de forma proactiva. El componente de prevención de exploits se mantiene vigilante ante acciones sospechosas de las aplicaciones e impide que se ejecuten archivos maliciosos, recomendó Kaspersky.
