Un exploit contra Flash Player está siendo usado para esparcir el spyware FinFisher

Flash-Player_0_Day

FinSpy: el infame malware de vigilancia está de vuelta e infecta objetivos de alto perfil utilizando un nuevo exploit de día cero de Adobe Flash entregado a través de documentos de Microsoft Office.

Los investigadores de seguridad de Kaspersky Labs han descubierto una nueva vulnerabilidad de ejecución de código remoto de día cero en Adobe Flash, que estaba siendo activamente explotada en la naturaleza por un grupo de actores de amenaza persistentes avanzados, conocidos como BlackOasis .

La vulnerabilidad de confusión de tipo crítico, rastreada como CVE-2017-11292 , podría llevar a la ejecución del código y afecta a Flash Player 21.0.0.226 para los principales sistemas operativos, incluidos Windows, Macintosh, Linux y Chrome OS.

Los investigadores dicen que BlackOasis es el mismo grupo de atacantes que también fueron responsables de explotar otra vulnerabilidad de día cero ( CVE-2017-8759 ) descubierta por los investigadores de FireEye en septiembre de 2017.

Además, la carga final de FinSpy en los ataques actuales explotando Flash día cero (CVE-2017-11292) comparte el mismo servidor de comando y control (C & C) que la carga utilizada con CVE-2017-8759 (que es la ejecución remota de código de Windows .NET Framework ).

Hasta el momento, BlackOasis ha apuntado a víctimas en varios países, entre ellos Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudita, Irán, los Países Bajos, Bahrein, el Reino Unido y Angola.

El nuevo exploit de día cero de Flash es al menos el quinto día cero que el grupo BlackOasis explotó desde junio de 2015.

El exploit de día cero se entrega a través de documentos de Microsoft Office, particularmente Word, adjunto a un correo electrónico no deseado e incrustado en Word El archivo incluye un objeto ActiveX que contiene el exploit Flash.

El exploit despliega el malware comercial FinSpy como la carga útil final del ataque.

“El objeto Flash contiene un código ActionScript que es responsable de extraer el exploit utilizando un empaquetador personalizado que se ve en otros exploits FinSpy”, dicen los investigadores de Kaspersky Labs.

FinSpy es una herramienta de vigilancia altamente secreta que previamente se ha asociado con Gamma Group, una empresa británica que vende legalmente software de vigilancia y espionaje a agencias gubernamentales de todo el mundo.

FinSpy, también conocido como FinFisher , tiene amplias capacidades de espionaje en un sistema infectado, incluida la vigilancia secreta en vivo al encender sus cámaras web y micrófonos, registrar todo lo que la víctima escribe en el teclado, interceptar llamadas de Skype y exfiltrar archivos.

Para entrar en el sistema de un objetivo, FinSpy usualmente usa varios vectores de ataque, incluyendo spear phishing, instalación manual con acceso físico al dispositivo afectado, exploits de día cero y ataques de pozo de agua o ataques de abrevadero.

“El ataque usando el exploit de día cero recientemente descubierto es la tercera vez que este año hemos visto la distribución de FinSpy a través de exploits a vulnerabilidades de día cero”, dijo Anton Ivanov, analista principal de malware en Kaspersky Lab.

“Anteriormente, los actores que implementaban este malware abusaban de problemas críticos en los productos de Microsoft Word y Adobe. Creemos que la cantidad de ataques que dependen del software FinSpy, respaldado por exploits de día cero como el que se describe aquí, seguirá creciendo”.

Kaspersky Lab informó sobre la vulnerabilidad a Adobe, y la compañía ha abordado la vulnerabilidad con el lanzamiento de las versiones de Adobe Flash Player 27.0.0.159 y 27.0.0.130.

Apenas el mes pasado, los investigadores de ESET descubrieron descargas legítimas de varias aplicaciones populares como WhatsApp, Skype, VLC Player y WinRAR (supuestamente comprometidas a nivel de ISP ) que también distribuían FinSpy.

Por lo tanto, se recomienda encarecidamente a las empresas y organizaciones gubernamentales de todo el mundo que instalen la actualización de Adobe lo antes posible.

Es probable que Microsoft también esté lanzando una actualización de seguridad para parchear los componentes de Flash Player utilizados por sus productos.

Fuente: thehackernews

Follow me:
Twitter
Visit Us
Facebook
Facebook
Instagram
RSS
Follow by Email

También te puede interesar

Deja un comentario

error: Content is protected !!