Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Malware Zyklon explota fallas en Microsoft Office

Los atacantes cibernéticos están explotando tres vulnerabilidades descubiertas recientemente en Microsoft Office para propagar el malware multifuncional Zyklon, advierten investigadores de seguridad.

Se insta a las empresas a garantizar que los parches de Microsoft Office estén actualizados ya que vulnerabilidades conocidas se están utilizando para propagar el poderoso malware Zyklon.

El malware, que ha estado en uso desde 2016, está diseñado para lanzar ataques de denegación distribuida de servicio (DDoS), registrar las pulsaciones de teclas, robar contraseñas y minar criptomonedas.

Zyklon también es capaz de ejecutar complementos adicionales, tiene funcionalidad para actualizarse y eliminarse, y puede comunicarse con su servidor de comando y control (C2) a través de la red The Onion Router (Tor) si está configurado para hacerlo.

El malware "detecta y descifra automáticamente las claves de licencia/serie de más de 200 piezas populares de software, incluidos Office, SQL Server, Adobe y Nero", y permite a los atacantes secuestrar portapapeles de direcciones bitcoin para reemplazar la dirección de un usuario con una dirección controlada por los cibercriminales.

Una de las últimas campañas de Zyklon se entrega a través de correos electrónicos no deseados, que generalmente llegan con un archivo adjunto .zip que contiene un archivo .doc malicioso, según los investigadores de FireEye.

Las principales industrias a las que apunta esta campaña son las telecomunicaciones, los seguros y los servicios financieros, pero los investigadores advirtieron que las organizaciones de todos los sectores deberían estar alertas. "Es muy probable que los actores de amenazas eventualmente se salgan del alcance de su orientación actual", dijeron en una publicación de blog.

El archivo .doc malicioso explota al menos tres vulnerabilidades conocidas en Microsoft Office y, una vez ejecutado en un entorno vulnerable, la carga útil basada en PowerShell se hace cargo. El script de PowerShell es responsable de descargar la carga final de un servidor C2 para ejecutarlo, dijeron los investigadores.

Las tres vulnerabilidades explotadas por el archivo .doc son CVE-2017-8759, CVE-2017-11882 y  una vulnerabilidad en el mecanismo de comunicación Dynamic Data Exchange.

"Este tipo de amenazas muestran por qué es muy importante garantizar que todo el software esté completamente actualizado", dijeron los investigadores de FireEye.

Según Michael Patterson, director general de la firma de respuesta a incidentes de seguridad Plixer, este tipo de infección de malware respalda la urgencia de mantener los sistemas parchados con actualizaciones automáticas.

"Aunque un sistema puede estar protegido contra Zyklon, las variantes de malware se lanzan constantemente en forma de día cero, lo que puede llevar a costosas limpiezas", dijo.

Como medida proactiva, Patterson dijo que las empresas con productos de Microsoft implementados deberían recopilar los flujos de tráfico de red de todos los enrutadores y servidores virtuales para realizar análisis de tráfico de red en caso de una brecha.

"Detectar y localizar rápidamente el origen del evento de infracción es de suma importancia. Por ejemplo, el tráfico de Tor, que es inusual en una red, se puede encontrar y detener fácilmente al observar el flujo de tráfico. Usar análisis de tráfico y agregar contexto puede conducir a una remediación más rápida y ayudar a mantener la empresa segura", dijo.

El hecho de no mantener actualizados los parches de software expone innecesariamente a las organizaciones a las amenazas, pero un estudio reciente de la empresa de seguridad AlienVault mostró que algunas vulnerabilidades no se parchan durante varios años.

Por ejemplo, CVE-2010-2568 fue clasificada como la tercera vulnerabilidad más referenciada por los proveedores en la plataforma Open Threat Exchange (OTX) de AlienVault en 2017, y aún así la vulnerabilidad de ejecución remota de código en los controles comunes de Windows fue reparada por Microsoft en 2012.

Sean Newman, director de Corero Network Security, dijo que el hecho de que los atacantes utilicen vulnerabilidades en los productos de Microsoft Office para instalar malware que se puede controlar de forma remota para lanzar esos ataques no será una sorpresa para muchas personas.

"Sin embargo, la flexibilidad y la escala de ataque posibles de tal ejército de dispositivos comprometidos debería ser una preocupación importante", dijo, especialmente a la luz de las posibilidades de abuso de criptomonedas o la capacidad de generar ataques DDoS a gran escala.

"Estas capacidades tienen un importante potencial de generación de ingresos para los ciberdelincuentes, a expensas de aquellos que intentan beneficiarse de las amplias oportunidades que ofrece internet", dijo Newman.

"Asegurar que su software esté parchado puede ayudarlo a mantenerse a salvo de ataques a sus datos o criptomonedas, pero la única manera de asegurarse de que esté a salvo de los ataques DDoS externos generados por este malware es asegurar que tenga la última protección en tiempo real instalada", él dijo.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close