Los ataques que aprovechan exploits para Microsoft Office se cuadruplicaron a principios de 2018
31 de mayo de 2018
· El número de usuarios atacados en el primer trimestre de 2018 mediante el uso de documentos Office maliciosos multiplicó por más de 4 las cifras del mismo periodo de 2017
· En apenas tres meses, la cuota de exploits en Office creció casi un 50%, el doble que las cifras registradas para todo el año 2017
Los ataques que utilizan exploits se consideran muy potentes, ya que no requieren de ninguna interacción adicional con el usuario y, de forma muy discreta, pueden introducir su peligroso código. No es de extrañar que su uso sea muy frecuente, tanto por los cibercriminales que buscan obtener beneficios económicos como por aquellos actores estatales más sofisticados que lo utilizan para sus propósitos.
El primer trimestre de 2018 experimentó una campaña masiva de esos exploits dirigidos contra el popular software de Microsoft Office. Según los analistas de Kaspersky Lab, es probable que haya sido el momento álgido de una tendencia a largo plazo, ya que en el periodo 2017/18 se identificaron al menos 10 vulnerabilidades, en comparación con los dos exploits de día cero para Adobe Flash Player durante el mismo periodo.
La participación de Adobe Flash Player en la distribución de exploits utilizados en ataques está disminuyendo según lo esperado, representando apenas un 3% en el primer trimestre. Adobe y Microsoft se han esforzado en dificultar el uso de Flash Player para estos fines.
Cuando los cibercriminales descubren la existencia de una vulnerabilidad, se ponen manos a la obra en la preparación del exploit listo para usar. Acto seguido suelen usar spear-phishing como vector de infección en muchas ocasiones, comprometiendo a usuarios y compañías a través de correos electrónicos que incluyen anexos maliciosos. Y lo que es peor, esos vectores de ataque suelen ser muy discretos, utilizándose muy activamente en ataques dirigidos sofisticados. En los últimos seis meses hemos podido ver muchos ejemplos de esto.
Por ejemplo, en otoño de 2017 los sistemas avanzados de prevención de Kaspersky identificaron un nuevo exploit de zero-day de Adobe Flash. El exploit se entregó a través de un documento Microsoft Office que descargó la última versión del malware FinSpy. El análisis de la carga permitió a los analistas vincular este ataque a un sofisticado actor conocido como “BlackOasis”. En ese mes mismo, los analistas de Kaspersky Lab publicaron un detallado análisis de СVE-2017-11826, una vulnerabilidad crítica de día cero utilizada para lanzar ataques dirigidos en todas las versiones de Microsoft Office. El exploit para esta vulnerabilidad es un documento RTF que contiene un documento DOCX que explota СVE-2017-11826 en el analizador Office Open XML. Y hace apenas un par de días, se publicó información sobre la vulnerabilidad zero-day CVE-2018-8174 de Internet Explorer. Esta vulnerabilidad también se ha usado en ataques dirigidos.
“El panorama de ciberamenazas en el primer trimestre de 2018 nos muestra que la falta de atención a la gestión de parches es uno de los ciberpeligros más importantes. Aunque los proveedores suelen generalmente proceder a distribuir parches para hacer frente a las vulnerabilidades, los usuarios muchas veces no llegan a actualizar a tiempo sus productos, lo que se deriva en oleadas de ataques muy discretos y altamente eficaces una vez que las vulnerabilidades han quedado a la vista de la amplia comunidad de ciberdelincuentes”, señala Alexander Liskin, experto en seguridad de Kaspersky Lab.
Otras estadísticas de amenazas online d el informe del primer Q de 2018:
· Las soluciones online de Kaspersky Lab detectaron y rechazaron 796.806.112 ataques maliciosos desde recursos online ubicados en 194 países.
· 282.807.433 direcciones URL únicas se identificaron como maliciosas por los componentes antivirus de la red
· 204.448 ordenadores de usuarios detectaron infecciones por malware que intentaban hacerse con fondos a través del acceso online a cuentas bancarias.
· El antivirus de archivos de Kaspersky Lab detectó un total de 187.597.494 objetos maliciosos únicos y potencialmente no deseados.
· Las soluciones de seguridad móvil de Kaspersky Lab también detectaron
o 1.322.578 de paquetes maliciosos de instalación
o 18.912 troyanos de banca móvil (paquetes de instalación)
Para reducir el riesgo de infección, los usuarios deben:
- Mantener al día en software del PC y asegurarse que la función de actualización automática está habilitada.
- Siempre que sea posible, elegir a un proveedor de software que muestre un enfoque responsable ante un problema de vulnerabilidad. Comprobar si el proveedor de software tiene su propio programa de recompensas por identificación de fallos.
- Utilizar soluciones de seguridad robustas , que cuentan con características especiales para proteger contra exploits, como Automatic Exploit Prevention.
- Ejecutar regularmente un escaneo del sistema para verificar posibles infecciones y asegurarse de mantener todo el software actualizado.
- Las empresas deben usar una solución de seguridad que proporcione componentes de vulnerabilidad, administración de parches y prevención de vulnerabilidades, como Kaspersky Endpoint Security for Business. La función de administración de parches elimina automáticamente las vulnerabilidades y las repara de forma proactiva. El componente de prevención de exploits monitoriza las acciones sospechosas de las aplicaciones y bloquea las ejecuciones de archivos maliciosos.
El informe completo de evolución de amenazas de TI de Kaspersky Lab está disponible en Securelist.com