Los Exploits Kits (EK) son aplicaciones web instaladas en sitios web que funcionan detectando el navegador del usuario y lanzando un exploit basado en web para infectar el ordenador del visitante con una carga útil (malware).
Los Exploits Kits o Kits de Explotación han sido utilizados por bandas de malware desde finales de la década de 2000 y fueron una parte crucial del ecosistema de malware en la primera mitad de la década de 2010. Junto con el correo no deseado, los kits de explotación fueron las dos formas más comunes en que los grupos de malware atacaron e infectaron a los usuarios durante más de una década, y se utilizaron tanto en operaciones de ciberdelincuencia como en los esfuerzos de ciberespionaje.
Su uso comenzó a disminuir a fines de la década de 2010 debido a varias medidas enérgicas de aplicación de la ley contra algunos operadores de EK y a medida que los navegadores comenzaron a agregar funciones de seguridad para evitar una fácil explotación por parte de los operadores de EK.
Los Exploits Kits o Kits de Explotación han sido utilizados por bandas de malware desde finales de la década de 2000 y fueron una parte crucial del ecosistema de malware en la primera mitad de la década de 2010. Junto con el correo no deseado, los kits de explotación fueron las dos formas más comunes en que los grupos de malware atacaron e infectaron a los usuarios durante más de una década, y se utilizaron tanto en operaciones de ciberdelincuencia como en los esfuerzos de ciberespionaje.
Su uso comenzó a disminuir a fines de la década de 2010 debido a varias medidas enérgicas de aplicación de la ley contra algunos operadores de EK y a medida que los navegadores comenzaron a agregar funciones de seguridad para evitar una fácil explotación por parte de los operadores de EK.
En general, los EK apenas han tenido un impacto significativo en el panorama de la ciberseguridad desde 2017, pero eso no ha impedido que algunos actores de amenazas desarrollen otros nuevos.
En los últimos cuatro años, se han lanzado nuevos kits de exploits como Spelevo, Fallout, RIG, Underminer, RouterEK y Magnitude, y la mayoría de ellos han sido jugadores marginales en el panorama de amenazas.
Durante ese tiempo, los operadores de EK también perdieron a sus mejores programadores que se fueron para trabajar con otros operadores de delitos informáticos. Durante los últimos años, en lugar de investigar e implementar sus propios exploits personalizados de día cero, la mayoría de los EK se han limitado a integrar vulnerabilidades divulgadas públicamente en sus arsenales de exploits.
A lo largo de los últimos años, los operadores de EK solo se enfocaron en atacar a los usuarios de Internet Explorer, ya que los ataques contra navegadores más modernos generalmente involucraban cadenas de exploits de dos o tres pasos, que los operadores rara vez podían desarrollar por sí mismos o tener en sus manos.
En los últimos cuatro años, se han lanzado nuevos kits de exploits como Spelevo, Fallout, RIG, Underminer, RouterEK y Magnitude, y la mayoría de ellos han sido jugadores marginales en el panorama de amenazas.
Durante ese tiempo, los operadores de EK también perdieron a sus mejores programadores que se fueron para trabajar con otros operadores de delitos informáticos. Durante los últimos años, en lugar de investigar e implementar sus propios exploits personalizados de día cero, la mayoría de los EK se han limitado a integrar vulnerabilidades divulgadas públicamente en sus arsenales de exploits.
A lo largo de los últimos años, los operadores de EK solo se enfocaron en atacar a los usuarios de Internet Explorer, ya que los ataques contra navegadores más modernos generalmente involucraban cadenas de exploits de dos o tres pasos, que los operadores rara vez podían desarrollar por sí mismos o tener en sus manos.
Magnitude, uno de los Exploits Kits más activos
En este momento, Magnitude es uno de los Exploits Kits más activos en el mercado, y se va actualizando regularmente (y además, en forma de exploits bastante nuevos) agregadas a su arsenal (ver informes de 2020, 2021).
Los operadores del kit de exploits Magnitude han agregado soporte para una cadena de ataque dirigida al navegador web Chrome, un avistamiento poco común ya que los pocos kits de exploit que todavía están activos hoy solo se han dirigido a Internet Explorer en los últimos años.
La firma de seguridad Avast dijo que encontró una nueva cadena de exploits en la base del código de Magnitude que le permite apuntar a los usuarios de Chrome, algo que no se ha visto en mucho tiempo para un EK y que se considera un santo grial para los operadores de EK, ya que esto les permite dirigirse a la mayoría de los usuarios web actuales.
Según Avast, la cadena de exploits utiliza una vulnerabilidad de Chrome parcheada en abril (CVE-2021-21224) para escapar de la zona de pruebas de seguridad del navegador y una elevación de privilegios de Windows parcheada en junio (CVE-2021-31956) para atacar el sistema operativo subyacente.
Si bien, el código de Prueba de Concepto (PoC) ha estado disponible para el exploit de Chrome desde abril, el código para el error de Windows nunca se lanzó al público.
Los operadores del kit de exploits Magnitude han agregado soporte para una cadena de ataque dirigida al navegador web Chrome, un avistamiento poco común ya que los pocos kits de exploit que todavía están activos hoy solo se han dirigido a Internet Explorer en los últimos años.
La firma de seguridad Avast dijo que encontró una nueva cadena de exploits en la base del código de Magnitude que le permite apuntar a los usuarios de Chrome, algo que no se ha visto en mucho tiempo para un EK y que se considera un santo grial para los operadores de EK, ya que esto les permite dirigirse a la mayoría de los usuarios web actuales.
Según Avast, la cadena de exploits utiliza una vulnerabilidad de Chrome parcheada en abril (CVE-2021-21224) para escapar de la zona de pruebas de seguridad del navegador y una elevación de privilegios de Windows parcheada en junio (CVE-2021-31956) para atacar el sistema operativo subyacente.
Si bien, el código de Prueba de Concepto (PoC) ha estado disponible para el exploit de Chrome desde abril, el código para el error de Windows nunca se lanzó al público.
PuzzleMaker, exploits para Chrome y Windows
Avast también señala que esta misma combinación exacta de una cadena de exploits de Chrome y Windows también se vio antes, a principios de este año, en una campaña de ciberespionaje descubierta por Kaspersky. Llamada PuzzleMaker, Kaspersky dijo que la cadena de exploits no tenía ninguna conexión con ningún actor de amenazas previamente conocido, estaba oculta dentro de un portal de noticias geopolíticas de apariencia legítima y describió toda la operación como “una ola de ataques altamente dirigidos contra múltiples empresas”.
Aunque el descubrimiento de Avast es importante debido a un raro avistamiento de un Kit de Exploits que persigue a los navegadores Chrome y relacionados con Chromium, aún quedan otras preguntas, como por ejemplo, cómo un grupo de EK casi muerto consiguió una cadena de exploits de tan alto grado y qué tan efectiva es la cadena de exploits para empezar.
Pero también hay buenas noticias, en el sentido de que el exploit de Windows no es universal y solo funcionará contra una pequeña cantidad de versiones de Windows 10.
“Los ataques que hemos visto hasta ahora están dirigidos únicamente a las compilaciones de Windows 18362, 18363, 19041 y 19042 (19H1–20H2). La versión 19043 (21H1) no es un objetivo”, dijeron los investigadores de Avast.
Aunque el descubrimiento de Avast es importante debido a un raro avistamiento de un Kit de Exploits que persigue a los navegadores Chrome y relacionados con Chromium, aún quedan otras preguntas, como por ejemplo, cómo un grupo de EK casi muerto consiguió una cadena de exploits de tan alto grado y qué tan efectiva es la cadena de exploits para empezar.
Pero también hay buenas noticias, en el sentido de que el exploit de Windows no es universal y solo funcionará contra una pequeña cantidad de versiones de Windows 10.
“Los ataques que hemos visto hasta ahora están dirigidos únicamente a las compilaciones de Windows 18362, 18363, 19041 y 19042 (19H1–20H2). La versión 19043 (21H1) no es un objetivo”, dijeron los investigadores de Avast.
