El año pasado aumentaron a niveles históricos los ciberataques, y en lo que va de este no parecen cesar. Un documento de Word abre la puerta a la ejecución de código malicioso en una computadora a través de una vulnerabilidad de día cero que se ha encontrado en Microsoft Office, con capacidad e actuar incluso si los macros están desactivadas.
El grupo de ciberseguridad Nao_sec identificó la semana pasada una vulnerabilidad de día cero en Microsoft Office, que el investigador Kevin Beaumont denominó Follina en una investigación posterior, por coincidir la referencia de la muestra analizada, 0438, con el código postal de la localidad italiana del mismo nombre.
Ataque en Microsoft Office
A través de un archivo de Word especialmente diseñado, un ciberatacante puede aprovecharse de Follina para ejecutar comandos PowerShell con la herramienta Microsoft Diagnostic Tool (MSDT), que envía información sobre el estado del sistema.
Esta ejecución de código malicioso sortea la detección de Windows Defender y puede hacerse incluso si se han desactivado las macros, una serie de instrucciones que se agrupan en un comando para realizar una tarea de forma automática.
El impacto sobre el equipo del usuario es inmediato
Beaumont explica en una entrada en su blog que el documento Word "usa la función de plantilla remota para recuperar un archivo HTML de un servidor remoto, que a su vez usa el esquema de URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell". Esto, según señala, "no debería ser posible".
El impacto sobre el equipo del usuario es inmediato, nada más abrir el documento de Word. El ciberatacante tendría acceso al sistema, con capacidad para recopilar 'hashes' de las contraseñas de las máquinas Windows.
LinkedIn en la mira de phishing
Durante la pandemia, los ataques de ciberseguridad contra las compañías crecieron a números alarmantes. Por su parte, LinkedIn figura como la compañía que recibió el mayor número de ataques de 'phishing' durante el primer trimestre del año, siendo el objetivo del 52 por ciento de estas campañas.
Las redes sociales se convertieron en el principal objetivo de este tipo de estafas, cuyo objetivo es obtener información de los usuarios para acceder a sus cuentas personales, así como datos bancarios.
A estas plataformas le siguen en número de ataques otros sectores de la industria, como el 'retail', la tecnología y el transporte de mercancías.
Esta es una de las principales conclusiones a las que llegó CheckPoint en su reciente informe Brand Phishing Report, en el que se analizó el registro de este tipo de ataques llevados a cabo durante el primer trimestre de este año.
En su informe, CheckPoint analizó los ataques 'phishing' dirigidos a grandes compañías y organizaciones como LinkedIn, DHL, Google, Microsoft, Apple o WhatsApp.
El objetivo es captar la atención del usuario y convercerlo de hacer clic sobre el enlace malicioso.
Durante el primer trimestre de 2022, la red social profesional LinkedIn concentró un 52 por ciento de todos los ataques 'phising' registrados a nivel global.
Esta cifra es un 44 por ciento mayor respecto a la que registró el anterior trimestre, de 8 por ciento. Además, es la primera vez que la plataforma lidera la clasificación de los sitios web más atacados.
Uno de los métodos más habituales para proceder a este ataque se centra en el envío de un correo electrónico de aspecto legítimo a estos usuarios, con un enlace fraudulento en su contenido.
El objetivo es captar la atención del usuario y convercerlo de hacer clic sobre el enlace malicioso. Una vez que este haya accedido a la web presuntamente verificada, se le pide iniciar sesión con sus credenciales.
Los ciberdelincuentes guardan automáticamente estas claves, por lo que pueden acceder en cualquier momento a las cuentas de los usuarios de LinkedIn, así como a sus datos personales y profesionales.