La actualización de todas las soluciones de software que utilizamos a diario es una de las principales prácticas de ciberseguridad, ya que nos permite mantener nuestros sistemas siempre protegidos aplicando las correcciones que los fabricantes de estos productos preparan ante la posible explotación de fallas de seguridad. No obstante, es necesario mantenerse alertas, ya que los actores de amenazas también pueden usar actualizaciones falsas para hackear nuestros sistemas.
Desde hace años, los grupos de hacking han utilizado actualizaciones maliciosas en conjunto con campañas de phishing para lanzar ataques contra usuarios desprevenidos. En la más reciente campaña, reportada por Malwarebytes, se ha detectado que los usuarios del navegador web Microsoft Edge están recibiendo una falsa actualización que oculta una carga maliciosa.
Esta actualización maliciosa entrega el kit de exploits Magnitude, un conjunto de herramientas que tienen como fin la instalación de una poderosa variante de ransomware conocida como Magniber. La campaña fue detectada hace unas semanas y se enfoca en usuarios en Corea del Sur.
Según los expertos, el ataque sigue una cadena plenamente identificable y descrita a continuación:
- El usuario objetivo visita un sitio web malicioso
- Este anuncio redirige al usuario al malware Magnigate
- Magnigate ejecuta verificaciones de la dirección IP y del navegador para determinar si el usuario cumple con los criterios para elegir una víctima; de ser así, Magnigate redirigirá al usuario a una página de inicio del kit de explotación
- El kit de explotación elige una forma de atacar al usuario; en este caso, la actualización maliciosa de Microsoft Edge
- Esta falsa actualización oculta un archivo malicioso de paquete de aplicación de Windows (.appx)
- El archivo .appx descarga el ransomware Magniber, que comenzará a cifrar los archivos comprometidos
Por el momento se desconoce si esta campaña persigue objetivos concretos más allá de exigir el rescate a los usuarios afectados, aunque los investigadores no descartan que detrás de esta campaña se oculte actividad de actores de amenazas estatales.
En el pasado, el malware Magnitude ha explotado vulnerabilidades conocidas en Flash e Internet Explorer, aunque puede adaptarse con facilidad a las más recientes tendencias. En diciembre de 2021, este malware también comenzó a explotar una vulnerabilidad de evasión de sandbox en navegadores Chrome.
Cabe mencionar que Edge se basa en el mismo navegador que Chrome, usa el mismo motor de JavaScript V8 y es vulnerable a las mismas fallas de seguridad. Aún así, su explotación solo es posible en navegadores web desactualizados, por lo que la mejor manera de prevenir un ataque es mantener su navegador actualizado siempre a la más reciente versión disponible; si desea saber cuál es la versión de navegador que su sistema ejecuta, simplemente vaya al menú de Configuraciones en Microsoft Edge.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
