El cibercrimen aprovecha la epidemia ébola para atacar

Websense Security Labs encontró dos campañas maliciosas distintas que han aprovechado el revuelo generado alrededor del virus del ébola para atacar a usuarios, compañías y organismos públicos.

El 10 de Octubre de 2014, Websense ThreatSeeker Intelligence Cloud detectó miles de emails maliciosos con el titulo: Subject: Ebola Safety Tips-By WHO (Asunto: Consejos de Seguridad del Ébola por la OMS).

Captura de pantalla de un mail malicioso

Al comienzo de la campaña, los mensajes contenían una URL que redireccionaba a las víctimas a un sitio de descarga de un archivo RAR (comprimido). El archivo contenía DarkKomet RAT/Backdoor, una herramienta de administración remota (RAT) que es utilizada por los atacantes para controlar la computadora de la víctima y robar información.

Pavel Orozco, gerente de ingeniería en América Latina para Websense, explicó que al hacerse pasar por la Organización Mundial de la Salud (OMS), una fuente confiable de información, los criminales están usando tácticas de ingeniería social para obligar a las víctimas a hacer clic.

“No sólo es nefasto sino además muy eficaz. Los usuarios deben tener precaución y las empresas soluciones de seguridad para prevenir que estos ataques tengan éxito” comentó Orozco.

Por otro lado, el 14 de octubre de 2014, iSight descubrió la vulnerabilidad CVE-2014-1114 utilizada en la campaña Sandworm. El ataque tuvo como blanco a la OTAN, la Unión Europea y a miembros de los sectores de energía y telecomunicaciones.

CVE-2014-4114 puede permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado, que contiene un objeto OLE. La vulnerabilidad está en todas las versiones compatibles de Microsoft Windows, excepto en Windows Server 2003.

Debido a que la vulnerabilidad no implica corrupción de memoria que puede resultar en código shell y porque pertenece a la categoría de ‘error de diseño’, las protecciones del tipo DEP y ASLR no son eficaces. El código ejemplo para los exploits CVE-2014-4114 fue visto publicado en la web. Los criminales podrían utilizar esta vulnerabilidad para construir un archivo PowerPoint que propague malware.

El virus del ébola se ha extendido en África Occidental desde que apareció por primera vez en Guinea en diciembre de 2013. Su creciente tasa de infección, la alta tasa de mortalidad, el aislamiento para los afectados y el desafío para contenerlo preocupan al mundo entero.

Fuente: Websense Security Labs