Los analistas de Kaspersky Lab han descubierto una vulnerabilidad en un popular programa de creación de documentos que han aprovechado los cibercriminales para lanzar con éxito ataques dirigidos.
- FreakyShelly, una aplicación maliciosa que se activa al abrirse un documento en un popular programa de procesamiento de textos da pistas sobre las vulnerabilidades del usuario
- No requiere ninguna interacción con el usuario y puede aparecer en todo el mundo gracias a la popularidad del procesador de textos
Los analistas de Kaspersky Lab han descubierto una vulnerabilidad en un popular programa de creación de documentos que han aprovechado los cibercriminales para lanzar con éxito ataques dirigidos. Utilizando una aplicación maliciosa que se activa nada más abrirse un documento sencillo, procede automáticamente a enviar a los ciberatacantes información sobre los programas instalados en el dispositivo de la víctima. Estos datos permiten entender qué tipo de vulnerabilidad pueden aprovechar para hackear el dispositivo objetivo.
No importa en qué dispositivo se abra el documento, la técnica de ataque funciona tanto en las versiones para ordenadores como de móviles de un popular programa de procesamiento de textos. Kaspersky Lab ha podido ver este modo de trabajo en al menos un actor de ciberespionaje, al que los analistas de la empresa han bautizado como FreakyShelly. Kaspersky Lab ha informado del problema al fabricante del programa, pero todavía no ha sido completamente parcheado.
Hace ya algún tiempo, cuando se investigaban los ataques dirigidos de FreakyShelly, los expertos de Kaspersky Lab detectaron una campaña de correo “spear-phishing” de documentos de formato OLE2 (estos utilizan tecnología de incrustación y enlazado de objetos que ayuda a crear documentos compuestos con información de varias fuentes, incluido Internet). Un vistazo rápido al archivo no levantaba ninguna sospecha. Incluía todo un conjunto de consejos útiles sobre cómo usar mejor el motor de búsqueda de Google y tampoco se vio que llevara exploits conocidos o macros maliciosas. Sin embargo, analizando con más detalle el comportamiento del documento, se pudo ver que, cuando se abría, el documento por algún motivo enviaba una solicitud GET a una página web externa.
La petición GET incluía información sobre el buscador utilizado en el dispositivo, la versión de sistema operativo, así como datos sobre otros programas instalados en el dispositivo atacado. El problema radicaba en que esta página web no era a la que la aplicación debía enviar la solicitud en realidad.
El análisis de Kaspersky Lab demostró que el ataque funcionaba debido a cómo se procesa y se almacena la información técnica sobre los elementos del documento dentro de él.
Cada documento digital contiene metadatos específicos sobre su estilo, ubicación de texto y fuente, dónde deben extraerse las imágenes del documento (si las hay) y otros parámetros. Una vez abierto, la aplicación leería estos parámetros y luego construirá el documento utilizando una especie de "mapa". Sobre la base de los resultados de la investigación realizada por los analistas de Kaspersky Lab, los cibercriminales pueden cambiar el parámetro responsable de señalar la ubicación de las imágenes utilizadas en el documento a través de sofisticadas manipulaciones de código, y hacer que el documento informe a la página web propiedad.
“Aunque esta característica no permite un ataque de malware es peligrosa porque puede soportar eficazmente actividades maliciosas al necesitar una casi nula interacción del usuario y poder llegar a muchas personas en todo el mundo, ya que el software afectado es muy popular. Dado que es realmente difícil de detectar, tememos que más actores de ciberamenazas puedan comenzar a usar esta técnica en el futuro”, dice Alexander Liskin, gerente de grupo de detección heurística de Kaspersky Lab.
Los productos de Kaspersky Lab detectan y bloquean con éxito ataques realizados con ayuda de esta técnica.
Con el fin de evitar ser víctima de un ataque de este tipo, los expertos de Kaspersky Lab recomiendan a los usuarios implementar las siguientes prácticas:
- Evitar la apertura de correos electrónicos enviados desde direcciones desconocidas y evitar la apertura de archivos adjuntos a dichos correos electrónicos;
- Utilizar soluciones de seguridad probadas capaces de detectar tales ataques, como las soluciones de protección de Kaspersky Lab.
El informe completo puede encontrarse en Securelist.
