Google está culpando a los piratas informáticos de Corea del Norte por explotar una vulnerabilidad previamente desconocida en Internet Explorer de Microsoft para propagar malware a las víctimas en Corea del Sur.
La empresa se enteró de la vulnerabilidad el 31 de octubre cuando los usuarios comenzaron a enviar un documento malicioso al servicio Virustotal de Google, que puede verificar archivos en busca de malware. El documento malicioso trataba sobre la trágica “aglomeración de la multitud(Se abre en una nueva ventana)” incidente ocurrido dos días antes en Itaewon, Corea del Sur, donde al menos 158 personas murieron durante las festividades de Halloween.
(Crédito: Google)
El documento malicioso se disfrazó para que pareciera una declaración oficial del gobierno sobre la tragedia. Pero en realidad, el archivo fue manipulado para explotar una nueva vulnerabilidad en Internet Explorer, probablemente capaz de cargar una puerta trasera en la computadora de la víctima.
El ataque puede parecer irrelevante ya que Internet Explorer está oficialmente muerto y apenas se usa(Se abre en una nueva ventana). Sin embargo, los piratas informáticos diseñaron el documento malicioso para obtener contenido HTML remoto. Si el documento se abre con Microsoft Office, el software representará el contenido HTML mediante Internet Explorer.
“Esta técnica se ha utilizado ampliamente para distribuir exploits de IE a través de archivos de Office desde 2017”, escribieron los investigadores de seguridad de Google.(Se abre en una nueva ventana) en una entrada de blog el miércoles. «Entregar exploits de IE a través de este vector tiene la ventaja de no requerir que el objetivo use Internet Explorer como su navegador predeterminado».
La investigación de Google descubrió que los piratas informáticos estaban abusando de una vulnerabilidad de día cero previamente desconocida en el motor de JavaScript para Internet Explorer para ejecutar código informático falso en las computadoras de las víctimas. La compañía no pudo descubrir la carga útil final del ataque, pero atribuyó el documento malicioso a un grupo de piratas informáticos de Corea del Norte denominado APT37, que es conocido por difundir varios tipos de puertas traseras que pueden secuestrar una computadora. Sin embargo, Google no dijo cómo atribuyó los documentos maliciosos a los piratas informáticos de Corea del Norte.
Recomendado por Nuestros Editores
La buena noticia es que Microsoft se apresuró a parchear(Se abre en una nueva ventana) la falla el 8 de noviembre después de que Google señalara la vulnerabilidad. También es importante tener en cuenta que Microsoft Office solo podría desencadenar la vulnerabilidad si el usuario deshabilitó «Vista protegida(Se abre en una nueva ventana)” en el documento y habilitó la edición.
Mientras tanto, Google advierte: “Esta no es la primera vez(Se abre en una nueva ventana) APT37 ha utilizado vulnerabilidades de día cero de Internet Explorer para atacar a los usuarios. Históricamente, el grupo ha centrado su atención en usuarios de Corea del Sur, desertores de Corea del Norte, legisladores, periodistas y activistas de derechos humanos”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.