Hackers aprovechan la vulnerabilidad de día cero antes de parchearlos

Según la investigación de amenazas de HP Wolf Security, los ciberdelincuentes se están movilizando rápidamente para convertir en armas nuevas vulnerabilidades de día cero. Las vulnerabilidades de CVE-2021-404441 de día cero, una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML utilizando documentos de Microsoft Office, fueron capturadas por primera vez por HP el 8 de septiembre, una semana antes de que se publicara el parche el 14 de septiembre.

Para el 10 de septiembre, solo tres días después del boletín de amenazas inicial, el equipo de investigación de amenazas de HP vio scripts diseñados para automatizar la creación de este exploit que se compartían en GitHub. A menos que esté parcheado, el exploit permite a los atacantes comprometer los puntos finales con muy poca interacción del usuario. Utiliza un archivo de almacenamiento malicioso, que implementa malware a través de un documento de Office. Los usuarios no tienen que abrir el archivo ni habilitar macros, verlo en el panel de vista previa del Explorador de archivos es suficiente para iniciar el ataque, que un usuario a menudo no sabrá que ha sucedido. Una vez que el dispositivo se ve comprometido, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse al grupo de ransomware.


Otras amenazas notables aisladas por el equipo de información sobre amenazas de HP Wolf Security incluyen

• Aumento de los ciberdelincuentes que utilizan proveedores legítimos de la nube y la web para alojar malware: una campaña reciente de GuLoader alojaba el troyano de acceso remoto Remcos (RAT) en plataformas importantes como OneDrive para evadir los sistemas de detección de intrusos y aprobar pruebas de listas blancas. HP Wolf Security también descubrió varias familias de malware alojadas en plataformas de redes sociales de juegos como Discord.
• El malware de JavaScript se escapa de las herramientas de detección: una campaña que difunde varios RAT de JavaScript se propaga a través de archivos adjuntos de correo electrónico maliciosos. Los descargadores de JavaScript tienen una tasa de detección más baja que los descargadores o binarios de Office. Las RAT son cada vez más comunes ya que los atacantes tienen como objetivo robar credenciales para cuentas comerciales o billeteras criptográficas.
• Se descubrió que la campaña dirigida se hacía pasar por el fondo de seguridad social nacional de Uganda: los atacantes utilizaron el "typosquatting", utilizando una dirección web falsificada similar a un nombre de dominio oficial, para atraer a los objetivos a un sitio que descarga un documento de Word malicioso. Esto utiliza macros para ejecutar un script de PowerShell que bloquea el registro de seguridad y evade la función de la interfaz de exploración antimalware de Windows.
• Cambiar a archivos HTA propaga malware con un solo clic: el troyano Trickbot ahora se envía a través de archivos HTA (aplicación HTML), que implementan el malware tan pronto como se abre el archivo adjunto o el archivo de logros que lo contiene. Como tipo de archivo poco común, es menos probable que las herramientas de detección detecten archivos HTA maliciosos.


“El tiempo promedio para que una empresa aplique, pruebe e implemente completamente los parches con las verificaciones adecuadas es de 97 días, lo que brinda a los ciberdelincuentes la oportunidad de explotar esta 'ventana de vulnerabilidad'. Si bien solo los piratas informáticos altamente capaces podían explotar esta vulnerabilidad al principio, los scripts automatizados han bajado el listón de entrada, lo que hace que este tipo de ataque sea accesible para los actores de amenazas con menos conocimientos y recursos. Esto aumenta sustancialmente el riesgo para las empresas, ya que los exploits de día cero se comercializan y se ponen a disposición del mercado masivo en lugares como foros clandestinos”, explica Alex Holland, analista senior de malware, equipo de investigación de amenazas de seguridad de HP Wolf, HP Inc. Los exploits tienden a ser efectivos para evadir las herramientas de detección porque las firmas pueden ser imperfectas y volverse obsoletas rápidamente a medida que cambia la comprensión del alcance del exploit. Esperamos que los actores de amenazas adopten CVE-2021-40444 como parte de sus arsenales y, potencialmente, incluso reemplacen los exploits comunes que se utilizan para obtener acceso inicial a los sistemas en la actualidad, como los que explotan el Editor de ecuaciones ".

“También estamos viendo plataformas importantes como OneDrive que permiten a los piratas informáticos realizar ataques 'flash in the pan'. Si bien el malware alojado en tales plataformas generalmente se elimina rápidamente, esto no disuade a los atacantes porque a menudo pueden lograr su objetivo de entregar malware en las pocas horas que los enlaces están activos”, continúa Holland. “Algunos actores de amenazas cambian la secuencia de comandos o el tipo de archivo que utilizan cada pocos meses. Los archivos JavaScript y HTA maliciosos no son nada nuevo, pero aún están llegando a las bandejas de entrada de los empleados, lo que pone en riesgo a la empresa. Una campaña implementó Vengeance Justice Worm, que puede extenderse a otros sistemas y unidades USB ".

Los hallazgos se basan en datos de millones de terminales que ejecutan HP Wolf Security. HP Wolf Security rastrea el malware abriendo tareas de riesgo en microMáquinas virtuales (micro VM) aisladas para comprender y capturar la cadena de infección completa, lo que ayuda a mitigar las amenazas que se han escapado de otras herramientas de seguridad. Esto ha permitido a los clientes hacer clic en más de 10 mil millones de archivos adjuntos de correo electrónico, páginas web y descargas sin reportar infracciones. Al comprender mejor el comportamiento del malware en la naturaleza, los investigadores e ingenieros de HP Wolf Security pueden reforzar la protección de seguridad de los endpoints y la resistencia general del sistema.


Los hallazgos clave del informe incluyen:
El 12% del malware de correo electrónico aislado había pasado por alto al menos un escáner de puerta de enlace
• El 89% del malware detectado se envió por correo electrónico, mientras que las descargas web fueron responsables del 11% y otros vectores, como los dispositivos de almacenamiento extraíbles, de menos del 1%.
• Los archivos adjuntos más comunes utilizados para enviar malware fueron archivos de almacenamiento (38%, frente al 17.26% del último trimestre), documentos de Word (23%), hojas de cálculo (17%) y archivos ejecutables (16%).
• Los cinco señuelos de phishing más comunes estaban relacionados con transacciones comerciales como "pedido", "pago", "nuevo", "cotización" y "solicitud".
• El informe encontró que el 12% del malware capturado era desconocido


“No podemos seguir confiando solo en la detección. El panorama de las amenazas es demasiado dinámico y, como podemos ver en el análisis de las amenazas capturadas en nuestras máquinas virtuales, los atacantes son cada vez más expertos en evadir la detección”, comenta el Dr. Ian Pratt, director global de seguridad para sistemas personales, HP Inc.“ Organizaciones debe adoptar un enfoque en capas para la seguridad de los endpoints, siguiendo los principios de confianza cero para contener y aislar los vectores de ataque más comunes, como el correo electrónico, los navegadores y las descargas. Esto eliminará la superficie de ataque para clases enteras de amenazas y, al mismo tiempo, brindará a las organizaciones el respiro necesario para coordinar los ciclos de parches de forma segura sin interrumpir los servicios".

Fuente: https://www.rtmworld.com/news/attackers-exploits-zero-day-vulnerability-before-patched/