Los analistas de seguridad de Trend Micro han identificado una vulnerabilidad crítica de día cero que permitió a los ciberdelincuentes distribuir el malware SmokeLoader. La vulnerabilidad fue explotada principalmente por grupos de ciberdelincuentes rusos, que atacaban a organizaciones gubernamentales y no gubernamentales ucranianas.
Los ataques tenían como objetivo llevar a cabo operaciones de espionaje cibernético en el contexto del conflicto en curso entre los dos países. El ataque implicó la explotación de cuentas de correo electrónico comprometidas y una vulnerabilidad de día cero en el programa 7-Zip. Los hackers explotaron la aplicación mediante un ataque homoglyph.
Cuando un usuario descarga un archivo de una fuente no confiable, principalmente de Internet, el sistema operativo Windows lo marca con una etiqueta de seguridad llamada Mark-of-the-Web (MoTW). Esta etiqueta indica el origen del archivo y se implementa como el atributo ZoneId=3. Este atributo garantiza que Windows no ejecute accidentalmente archivos de fuentes no confiables. También permite al sistema operativo realizar comprobaciones de seguridad adicionales a través del sistema SmartScreen.
La vulnerabilidad de día cero descubierta permitió a los hackers eludir la protección MoTW de Windows utilizando 7-Zip para archivar dos veces el archivo malicioso. El doble archivado significa que dentro del archivo archivado, hay otro archivo archivado. La protección MoTW significa que si intentas ejecutar un archivo de una fuente no confiable, Windows no lo ejecutará automáticamente haciendo doble clic. En cambio, te mostrará una pantalla que indica que Windows ha bloqueado la ejecución de una aplicación no reconocida. Te advierte que tengas cuidado con el archivo, ya que puede amenazar tu computadora. Luego, puedes decidir ejecutar el programa bajo tu propio riesgo.
Los analistas de seguridad explican que la razón principal de la vulnerabilidad de día cero de 7-Zip fue que el sistema MoTW no pudo identificar correctamente los archivos no confiables en caso de doble archivado. En la práctica, ejecutar un archivo en un archivo doble no activaba una pantalla de advertencia, lo que hacía que los usuarios fueran vulnerables al ataque.
Los analistas notaron por primera vez ataques que explotaban esta vulnerabilidad en septiembre del año pasado. Durante este período, principalmente grupos de hackers prorrusos explotaron la vulnerabilidad para atacar instituciones ucranianas y distribuir el malware SmokeLoader. Durante la investigación de la vulnerabilidad, los expertos encontraron varios correos electrónicos pertenecientes a diversas instituciones gubernamentales y empresas.
En un ataque de spearphishing, los hackers atacaron a un fabricante de automóviles en la región de Zaporizhzhia. El cuerpo del correo electrónico fraudulento contenía un mensaje que informaba a la empresa sobre un archivo adjunto importante que debían revisar. Como se mencionó anteriormente, los atacantes explotaron la aplicación mediante un ataque homoglyph.
Un ataque homoglyph implica manipulación tipográfica. En términos simples, se trata de usar caracteres que se parecen para crear una URL falsa que se parece a una URL legítima. Por ejemplo, un ciberdelincuente podría usar la letra cirílica "Es", que se parece a la letra latina "C" en latín, para crear un dominio falso "api-microsoft.com." En este caso, la URL se parecería a una URL legítima de Microsoft, pero en lugar de C, el hacker usó "Es." Usando este método, los hackers crearon una página de inicio de sesión falsa de Microsoft.
Durante esta campaña, los hackers distribuyeron un archivo de Word falso. Cuando el malware SmokeLoader ingresó al dispositivo de la víctima, los ciberdelincuentes tomaron el control total de la computadora infectada. Como se mencionó anteriormente, los hackers rusos explotaron la vulnerabilidad para atacar a organizaciones gubernamentales y no gubernamentales ucranianas. La investigación sugiere que algunas de las direcciones de correo electrónico comprometidas a través de las cuales los hackers operaban se obtuvieron en ataques anteriores.
La aplicación 7-Zip ya ha recibido una actualización que soluciona la vulnerabilidad de día cero descubierta. Los analistas de seguridad aconsejan a los usuarios que actualicen la aplicación a la versión 24.09 o posterior. Los usuarios también deben tener cuidado con los correos electrónicos de phishing. Es esencial mantener una sana desconfianza hacia cualquier mensaje inesperado que mencione algo importante o que señale un "problema" que debe resolverse inmediatamente. Es mejor resolver los problemas de la cuenta a través de la URL original del sitio web, y no a través de un enlace recibido por correo electrónico. Si se trata de una institución, siempre llámala usando un número de teléfono legítimo.