Es probable que una empresa de mercenarios cibernéticos en Austria haya estado utilizando exploits de día cero en el software de Windows y Adobe para propagar malware a las víctimas, según Microsoft.
Microsoft hizo la acusación en un informe.(Se abre en una nueva ventana) el miércoles que vinculó los ataques de malware con una misteriosa empresa de recopilación de información en Austria llamada DSIRF. Redmond afirma que DSIRF es en realidad una empresa de piratería profesional que vende acceso a su herramienta de malware «Subzero» a los clientes.
En los últimos dos años, Microsoft ha detectado el malware Subzero que circula en las computadoras con la ayuda de vulnerabilidades previamente desconocidas tanto en Windows como en Adobe Reader. “Las víctimas observadas hasta la fecha incluyen firmas de abogados, bancos y consultorías estratégicas en países como Austria, Reino Unido y Panamá”, agregó la empresa.
En mayo, Microsoft detectó uno de esos ataques que involucraba el envío de un PDF malicioso por correo electrónico para infectar la computadora del usuario. El PDF fue diseñado para explotar una vulnerabilidad en Adobe Reader para ejecutar código de computadora de forma remota en la máquina de la víctima. El ataque podría elevar los privilegios para ejecutar el código de nivel del sistema aprovechando una falla previamente desconocida(Se abre en una nueva ventana) en Windows, denominado CVE-2022-22047, que Microsoft parcheó a principios de este mes.
El encadenamiento de las dos vulnerabilidades supuestamente permitió a DSIRF descargar e instalar el malware Subzero en la computadora de la víctima. Según Microsoft, el componente principal del malware le permite registrar pulsaciones de teclado, capturar capturas de pantalla, robar archivos y ejecutar programas adicionales en la máquina secuestrada.
Además de usar archivos PDF, Microsoft también detectó que DSIRF se basa en documentos de Excel que contienen macros maliciosas para propagar Subzero en secreto.
La compañía está vinculando los ataques a DSIRF, citando los servidores y dominios de Internet a los que se comunicaba el malware Subzero. RiskIQ, una firma de inteligencia de amenazas que Microsoft adquirió el año pasado, pudo identificar «una gran cantidad de direcciones IP adicionales bajo el control» de los piratas informáticos.
“Este proceso produjo varios dominios con enlaces directos a DSIRF, incluido demo3[.]dsirf[.]eu (el sitio web de la empresa) y varios subdominios que parecen haber sido utilizados para el desarrollo de malware, incluido debugmex[.]dsirflabs[.]eu (probablemente un servidor utilizado para depurar malware con la herramienta de utilidad a medida Mex) y szstaging[.]dsirflabs[.]eu (probablemente un servidor utilizado para organizar el malware Subzero)”, dijo Microsoft.
DSIRF no respondió de inmediato a una solicitud de comentarios. Mientras tanto, Microsoft insta a los clientes a que prioricen parchear la falla de Windows CVE-2022-22047 en sus computadoras. Esto se puede hacer instalando las últimas actualizaciones de Windows.
Recomendado por Nuestros Editores
El antivirus Microsoft Defender de la compañía también se actualizó para detectar la presencia del malware Subzero. Sin embargo, Microsoft no pudo descubrir los detalles exactos de la vulnerabilidad de Adobe Reader, que la compañía sospecha con «confianza media» que sigue siendo una falla desconocida públicamente en el software.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.