Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on email
Email
¿Qué son los Exploits Kits?
Los Exploits Kits (EK) son aplicaciones web instaladas en sitios web que funcionan detectando el navegador del usuario y lanzando un exploit basado en web para infectar el ordenador del visitante con una carga útil (malware).

Los Exploits Kits o Kits de Explotación han sido utilizados por bandas de malware desde finales de la década de 2000 y fueron una parte crucial del ecosistema de malware en la primera mitad de la década de 2010. Junto con el correo no deseado, los kits de explotación fueron las dos formas más comunes en que los grupos de malware atacaron e infectaron a los usuarios durante más de una década, y se utilizaron tanto en operaciones de ciberdelincuencia como en los esfuerzos de ciberespionaje.

Su uso comenzó a disminuir a fines de la década de 2010 debido a varias medidas enérgicas de aplicación de la ley contra algunos operadores de EK y a medida que los navegadores comenzaron a agregar funciones de seguridad para evitar una fácil explotación por parte de los operadores de EK.
¿Qué son los Exploits Kits?
En general, los EK apenas han tenido un impacto significativo en el panorama de la ciberseguridad desde 2017, pero eso no ha impedido que algunos actores de amenazas desarrollen otros nuevos.

En los últimos cuatro años, se han lanzado nuevos kits de exploits como Spelevo, Fallout, RIG, Underminer, RouterEK y Magnitude, y la mayoría de ellos han sido jugadores marginales en el panorama de amenazas.

Durante ese tiempo, los operadores de EK también perdieron a sus mejores programadores que se fueron para trabajar con otros operadores de delitos informáticos. Durante los últimos años, en lugar de investigar e implementar sus propios exploits personalizados de día cero, la mayoría de los EK se han limitado a integrar vulnerabilidades divulgadas públicamente en sus arsenales de exploits.

A lo largo de los últimos años, los operadores de EK solo se enfocaron en atacar a los usuarios de Internet Explorer, ya que los ataques contra navegadores más modernos generalmente involucraban cadenas de exploits de dos o tres pasos, que los operadores rara vez podían desarrollar por sí mismos o tener en sus manos.

Magnitude, uno de los Exploits Kits más activos

En este momento, Magnitude es uno de los Exploits Kits más activos en el mercado, y se va actualizando regularmente (y además, en forma de exploits bastante nuevos) agregadas a su arsenal (ver informes de 2020, 2021).

Los operadores del kit de exploits Magnitude han agregado soporte para una cadena de ataque dirigida al navegador web Chrome, un avistamiento poco común ya que los pocos kits de exploit que todavía están activos hoy solo se han dirigido a Internet Explorer en los últimos años.

La firma de seguridad Avast dijo que encontró una nueva cadena de exploits en la base del código de Magnitude que le permite apuntar a los usuarios de Chrome, algo que no se ha visto en mucho tiempo para un EK y que se considera un santo grial para los operadores de EK, ya que esto les permite dirigirse a la mayoría de los usuarios web actuales.

Según Avast, la cadena de exploits utiliza una vulnerabilidad de Chrome parcheada en abril (CVE-2021-21224) para escapar de la zona de pruebas de seguridad del navegador y una elevación de privilegios de Windows parcheada en junio (CVE-2021-31956) para atacar el sistema operativo subyacente.

Si bien, el código de Prueba de Concepto (PoC) ha estado disponible para el exploit de Chrome desde abril, el código para el error de Windows nunca se lanzó al público.

PuzzleMaker, exploits para Chrome y Windows

Avast también señala que esta misma combinación exacta de una cadena de exploits de Chrome y Windows también se vio antes, a principios de este año, en una campaña de ciberespionaje descubierta por Kaspersky. Llamada PuzzleMaker, Kaspersky dijo que la cadena de exploits no tenía ninguna conexión con ningún actor de amenazas previamente conocido, estaba oculta dentro de un portal de noticias geopolíticas de apariencia legítima y describió toda la operación como “una ola de ataques altamente dirigidos contra múltiples empresas”.

Aunque el descubrimiento de Avast es importante debido a un raro avistamiento de un Kit de Exploits que persigue a los navegadores Chrome y relacionados con Chromium, aún quedan otras preguntas, como por ejemplo, cómo un grupo de EK casi muerto consiguió una cadena de exploits de tan alto grado y qué tan efectiva es la cadena de exploits para empezar.

Pero también hay buenas noticias, en el sentido de que el exploit de Windows no es universal y solo funcionará contra una pequeña cantidad de versiones de Windows 10.

“Los ataques que hemos visto hasta ahora están dirigidos únicamente a las compilaciones de Windows 18362, 18363, 19041 y 19042 (19H1–20H2). La versión 19043 (21H1) no es un objetivo”, dijeron los investigadores de Avast.

Comparte este artículo para mejorar la calidad del blog…

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on email
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor