Ciberseguridad
Procesador
Malware
phishing
Kaspersky
cibercrimen

Un procesador de textos, el último vehículo de los cibercriminales para sus propósitos

Se trata de una aplicación maliciosa que se activa al abrirse un documento en un popular programa de procesamiento de textos, y sin necesidad de interacción con el usuario.

Malware

Los cibercriminales no paran. Los analistas de KasperskyLab lo demuestran un día tras otro. La última fechoría de aquéllos descubierta es una vulnerabilidad en un popular programa de creación de documentos. Vulnerabilidad que han aprovechado los cibercriminales para lanzar con éxito ataques dirigidos.

El modo de proceder es el siguiente: una aplicación maliciosa se activa nada más abrirse un documento sencillo. Una vez dado este paso, dicha aplicación procede a enviar a los ciberatacantes, y de manera automática, información sobre los programas instalados en el dispositivo de la víctima. Estos datos permiten entender qué tipo de vulnerabilidad pueden aprovechar para hackear el dispositivo objetivo.

La técnica de ataque funciona tanto en las versiones para ordenadores como de móviles de un popular programa de procesamiento de textos, sin importar el dispositivo desde el que se abra el documento.

Kaspersky Lab ha podido ver este modo de trabajo en al menos un actor de ciberespionaje, al que los analistas de la empresa han bautizado como FreakyShelly. La firma ha informado del problema al fabricante del programa, pero todavía no ha sido completamente parcheado.

Hace ya algún tiempo, cuando se investigaban los ataques dirigidos de FreakyShelly, los expertos de Kaspersky Lab detectaron una campaña de correo “spear-phishing” de documentos de formato OLE2. En este caso particular, éstos utilizaban tecnología de incrustación y enlazado de objetos que ayuda a crear documentos compuestos con información de varias fuentes, incluido Internet. Un vistazo rápido al archivo no levantaba ninguna sospecha. Incluía todo un conjunto de consejos útiles sobre cómo usar mejor el motor de búsqueda de Google y tampoco se vio que llevara exploits conocidos o macros maliciosas. Sin embargo, analizando con más detalle el comportamiento del documento, se pudo ver que, cuando se abría el documento, por algún motivo enviaba una solicitud GET a una página web externa.

La petición GET incluía información sobre el buscador utilizado en el dispositivo y la versión de sistema operativo, así como datos sobre otros programas instalados en el dispositivo atacado. El problema radicaba en que esta página web no era a la que la aplicación debía enviar la solicitud en realidad. El análisis de Kaspersky Lab demostró que el ataque funcionaba debido a cómo se procesa y se almacena la información técnica sobre los elementos del documento dentro de él.

La razón del éxito de dicho ataque es muy sencilla: cada documento digital contiene metadatos específicos sobre su estilo, ubicación de texto y fuente, dónde deben extraerse las imágenes del documento (si las hay) y otros parámetros. Una vez abierto, la aplicación lee estos parámetros y luego construye el documento utilizando una especie de "mapa". Sobre la base de los resultados de la investigación realizada por los analistas de Kaspersky Lab, los cibercriminales pueden cambiar el parámetro responsable de señalar la ubicación de las imágenes utilizadas en el documento a través de sofisticadas manipulaciones de código, y hacer que el documento informe a la página web propiedad.

“Aunque esta característica no permite un ataque de malware, es peligrosa porque puede soportar eficazmente actividades maliciosas al necesitar una casi nula interacción del usuario y poder llegar a muchas personas en todo el mundo, ya que el software afectado es muy popular. Dado que es realmente difícil de detectar, tememos que más actores de ciberamenazas puedan comenzar a usar esta técnica en el futuro”, dice Alexander Liskin, gerente de grupo de detección heurística de Kaspersky Lab.

Los productos de Kaspersky Lab detectan y bloquean con éxito ataques realizados con ayuda de esta técnica. No obstante, y con el fin de evitar ser víctima de un ataque de este tipo, los expertos de la compañía recomiendan a los usuarios implementar las siguientes prácticas:

• Evitar la apertura de correos electrónicos enviados desde direcciones desconocidas y evitar la apertura de archivos adjuntos a dichos correos electrónicos.

• Utilizar soluciones de seguridad probadas capaces de detectar tales ataques, como las soluciones de protección de Kaspersky Lab.

INFORMACIÓN ADICIONAL

 

Prueba gratis durante 30 días Kaspersky Endpoint Security for Business Select.

 
 
Amenazas

El ecosistema de dispositivos conectados y su seguridad, a debate

Dentro del marco de la segunda edición del Foro de la Movilidad e IoT que ha tenido lugar en Madrid, organizado por ISMS Forum, se han abordado interesantes aspectos relacionados con este ecosistema de dispositivos interconectados y su seguridad.