{"id":11581,"date":"2017-10-16T14:10:37","date_gmt":"2017-10-16T20:10:37","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=11581"},"modified":"2017-11-07T12:20:37","modified_gmt":"2017-11-07T18:20:37","slug":"kaspersky-lab-descubre-exploit-de-dia-cero-en-adobe-flash-utilizado-para-instalar-spyware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/kaspersky-lab-descubre-exploit-de-dia-cero-en-adobe-flash-utilizado-para-instalar-spyware\/11581\/","title":{"rendered":"Kaspersky Lab descubre exploit de d\u00eda cero en Adobe Flash utilizado para instalar spyware"},"content":{"rendered":"

El avanzado sistema de prevenci\u00f3n de exploits de Kaspersky Lab ha identificado uno nuevo exploit de d\u00eda cero en Adobe Flash, usado en un ataque el 10 de octubre dentro de la campa<\/strong>\u00f1a<\/strong> conocida como BlackOasis. El vector inicial de ataque del exploit es v\u00eda un documento de Microsoft Word que instala el malware<\/em> comercial FinSpy. Kaspersky Lab ha informado sobre esta vulnerabilidad a Adobe, quien emiti\u00f3 un <\/strong>aviso<\/strong><\/a> al respecto. <\/strong><\/p>\n

Seg\u00fan los investigadores de Kaspersky Lab, el d\u00eda cero, CVE-2017-11292, fue detectado en un ataque real, y aconsejan a las empresas y organizaciones gubernamentales instalar de inmediato la actualizaci\u00f3n de Adobe.<\/p>\n

Los investigadores creen que el grupo detr\u00e1s del ataque tambi\u00e9n fue responsable de CVE-2017-8759, otro d\u00eda cero reportado en septiembre, y conf\u00edan en que el actor de amenazas involucrado sea BlackOasis, el cual el Equipo Global de Investigaci\u00f3n y An\u00e1lisis de Kaspersky Lab comenz\u00f3 a rastrear en 2016.<\/p>\n

El an\u00e1lisis revela que, una vez que se explota con \u00e9xito la vulnerabilidad, el malware<\/em> FinSpy (tambi\u00e9n conocido como FinFisher) queda instalado en la computadora destino. FinSpy es un malware<\/em> comercial que generalmente se vende a Estados-Naci\u00f3n y agencias del orden p\u00fablico para llevar a cabo tareas de vigilancia. En el pasado, el uso del malware<\/em> era principalmente dom\u00e9stico, y las agencias del orden p\u00fablico lo implementaban para la vigilancia de objetivos locales. BlackOasis es una excepci\u00f3n importante en este sentido: al usarlo contra una variedad de objetivos en todo el mundo. Esto parece sugerir que FinSpy est\u00e1 alimentando las operaciones de inteligencia global, con un pa\u00eds que lo usa contra otro. Las compa\u00f1\u00edas que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.<\/p>\n

El malware<\/em> utilizado en el ataque es la versi\u00f3n m\u00e1s reciente de FinSpy, equipada con m\u00faltiples t\u00e9cnicas anti-an\u00e1lisis para dificultar el an\u00e1lisis forense.<\/p>\n

Despu\u00e9s de la instalaci\u00f3n, el malware<\/em> establece un punto de apoyo en la computadora atacada y se conecta a sus servidores de mando y control ubicados en Suiza, Bulgaria y los Pa\u00edses Bajos, a la espera de m\u00e1s instrucciones y exfiltrar la informaci\u00f3n.<\/p>\n

Basado en la evaluaci\u00f3n de Kaspersky Lab, los intereses de BlackOasis abarcan una amplia gama de figuras involucradas en la pol\u00edtica de Medio Oriente, que incluyen figuras prominentes en las Naciones Unidas, blogueros y activistas de oposici\u00f3n, as\u00ed como corresponsales de noticias regionales. Tambi\u00e9n parecen tener inter\u00e9s en verticales de particular relevancia para la regi\u00f3n. Durante 2016, los investigadores de la compa\u00f1\u00eda observaron un gran inter\u00e9s en Angola, lo que ha quedado de manifiesto por documentos que han servido como se\u00f1uelos que se\u00f1alan objetivos con presuntos v\u00ednculos con el petr\u00f3leo, el lavado de dinero y otras actividades. Tambi\u00e9n hay un inter\u00e9s en activistas internacionales y organizaciones que hacen investigaciones o actividades de promoci\u00f3n.<\/p>\n

Hasta el momento, se han observado v\u00edctimas de BlackOasis en los siguientes pa\u00edses: Rusia, Irak, Afganist\u00e1n, Nigeria, Libia, Jordania, T\u00fanez, Arabia Saudita, Ir\u00e1n, Pa\u00edses Bajos, Bar\u00e9in, Reino Unido y Angola.<\/p>\n

\u201cEl ataque utilizando el exploit de d\u00eda cero descubierto recientemente es el tercero en el transcurso del a\u00f1o en el que hemos visto la distribuci\u00f3n de FinSpy a trav\u00e9s de exploits de vulnerabilidad de d\u00eda cero. Anteriormente, los agentes que implementaban este malware aprovechaban fallas cr\u00edticas en los productos de Microsoft Word y Adobe. Creemos que el n\u00famero de ataques basados \u200b\u200ben el software FinSpy, respaldado por exploits de d\u00eda cero como el que se describe aqu\u00ed, continuar\u00e1 creciendo\u201d, dijo Anton Ivanov, analista principal de malware para Kaspersky Lab.<\/strong><\/p>\n

Las soluciones de seguridad de Kaspersky Lab detectan y bloquean los exploits que utilizan la vulnerabilidad recientemente descubierta.<\/p>\n

Los expertos de Kaspersky Lab aconsejan a las organizaciones que tomen las siguientes medidas para proteger sus sistemas y sus datos contra esta amenaza:<\/p>\n