Así opera el robo de información que aprovecha una vulnerabilidad de Windows
Se trata de la vulnerabilidad de día cero que no detecta los archivos maliciosos que puede recibir vía correo electrónico.
Un investigador de seguridad ha descubierto unos nuevos ataques de ‘phishing’. Esta estrategia de robo busca lograr que las personas den su información personal para robar su dinero o identidad. Este tipo de estafa utiliza una vulnerabilidad de día cero de Windows para instalar un malware (‘QBot’).
La estrategia que emplean para ello es la de distribuir archivos por correo electrónico, sin que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés) que aparecen cuando se descargan archivos que no son de confianza, por ejemplo, que tenga una ubicación remota.
Esa es, justamente, la vulnerabilidad de día cero de Windows de la que se aprovechan los ciberdelincuentes. Fue identificada por el analista de analyst at ANALYGENCE Will Dormant en octubre, que impide que el sistema muestre estas advertencias de seguridad a la víctima, abriendo directamente el archivo malicioso y permitiendo que se ejecute el programa.
Le puede interesar: Hay cada vez más emisiones derivadas de servicios en la nube.
¿Cómo opera el robo?
En principio llega un correo electrónico que incluye un enlace a un documento y una contraseña para poder abrir el archivo del documento.
En el enlace se encuentra un archivo ZIP protegido con contraseña que contiene otro archivo ZIP y dentro, un archivo IMG. Según el investigador de seguridad ProxyLif, el archivo IMG incluye, a su vez, un archivo .js; uno de texto (data.txt) y otra carpeta con el archivo DLL renombrado como archivo .tmp (‘semejanza.tmp’), que es el que instala el ‘malware’.
Como el archivo .js se origina en Internet, Windows debería mostrar la advertencia de seguridad Mark of the Web. Pero se recurre a la vulnerabilidad del día cero de Windows al estar firmado con una clave con formato incorrecto, que permite que el script JS se ejecute y cargue el ‘malware’ QBot.
Una vez se carga el ‘malware’ se inyecta en procesos legítimos de Windows para evadir la detección. Actualmente, Microsoft conoce esta vulnerabilidad y se espera que esté solucionada como parte de las actualizaciones de seguridad de los parches de diciembre de este año 2022.
El virus se ejecuta de manera discreta en un segundo plano y su objetivo es robar correos electrónicos para usarlos en otros ataques de ‘phishing’, a la par que instalar otros ‘malwares’ que podrían robar datos o causar ataques de ‘ransomware’ (secuestro de datos).
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.
Un investigador de seguridad ha descubierto unos nuevos ataques de ‘phishing’. Esta estrategia de robo busca lograr que las personas den su información personal para robar su dinero o identidad. Este tipo de estafa utiliza una vulnerabilidad de día cero de Windows para instalar un malware (‘QBot’).
La estrategia que emplean para ello es la de distribuir archivos por correo electrónico, sin que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés) que aparecen cuando se descargan archivos que no son de confianza, por ejemplo, que tenga una ubicación remota.
Esa es, justamente, la vulnerabilidad de día cero de Windows de la que se aprovechan los ciberdelincuentes. Fue identificada por el analista de analyst at ANALYGENCE Will Dormant en octubre, que impide que el sistema muestre estas advertencias de seguridad a la víctima, abriendo directamente el archivo malicioso y permitiendo que se ejecute el programa.
Le puede interesar: Hay cada vez más emisiones derivadas de servicios en la nube.
¿Cómo opera el robo?
En principio llega un correo electrónico que incluye un enlace a un documento y una contraseña para poder abrir el archivo del documento.
En el enlace se encuentra un archivo ZIP protegido con contraseña que contiene otro archivo ZIP y dentro, un archivo IMG. Según el investigador de seguridad ProxyLif, el archivo IMG incluye, a su vez, un archivo .js; uno de texto (data.txt) y otra carpeta con el archivo DLL renombrado como archivo .tmp (‘semejanza.tmp’), que es el que instala el ‘malware’.
Como el archivo .js se origina en Internet, Windows debería mostrar la advertencia de seguridad Mark of the Web. Pero se recurre a la vulnerabilidad del día cero de Windows al estar firmado con una clave con formato incorrecto, que permite que el script JS se ejecute y cargue el ‘malware’ QBot.
Una vez se carga el ‘malware’ se inyecta en procesos legítimos de Windows para evadir la detección. Actualmente, Microsoft conoce esta vulnerabilidad y se espera que esté solucionada como parte de las actualizaciones de seguridad de los parches de diciembre de este año 2022.
El virus se ejecuta de manera discreta en un segundo plano y su objetivo es robar correos electrónicos para usarlos en otros ataques de ‘phishing’, a la par que instalar otros ‘malwares’ que podrían robar datos o causar ataques de ‘ransomware’ (secuestro de datos).
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.