Investigadores de la empresa de ciberseguridad Kaspersky detectaron una vulnerabilidad en Windows que ha sido explotada por el troyano bancario QakBot, así como por otros agentes de amenaza. A través de un comunicado, los expertos explicaron detalladamente cómo funciona este nuevo ataque.
¡Advierten por ataques de “día cero” en Windows!
Ciberatcantes aprovechan una nueva vulnerabilidad de día cero en Windows, denominada CVE-2024-30051, de acuerdo con Kaspersky.
- El parche para esta vulnerabilidad está disponible desde el 14 de mayo, dentro de la actualización de “Martes de parches”, compartida por Microsoft.
[TE RECOMENDAMOS: Virus bancarios atacan a clientes de estos bancos. ¡Ten cuidado!]
¡Utilizan un troyano bancario para atacar a los usuarios!
A mediados de abril, el equipo de Kaspersky detectó que la vulnerabilidad de Windows había sido explotada, mediante un exploit utilizado junto con el troyano bancario QakBot y otros malware, lo que indica que varios agentes de amenazas tenían acceso a la vulnerabilidad.
“La velocidad con que los agentes de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones oportunas y la vigilancia en materia de ciberseguridad”.
Boris Larin, investigador principal de seguridad en el equipo global de Investigación y Análisis (GReAT) de Kaspersky
El virus bancario Qakbot fue descubierto por la empresa de ciberseguridad en 2007 y está diseñado para el robo de credenciales bancarias, de acuerdo con los especialistas.
Con el tiempo, este troyano adquirió nuevas funcionalidades como el robo de correo electrónico, el registro de teclas y la capacidad de difundir e instalar ransomware.
- Qakbot es conocido por sus frecuentes actualizaciones y mejoras, por lo que es una amenaza persistente en el panorama de ciberseguridad. Asimismo, aprovecha otras botnets como Emotet para su distribución.
La recomendación es actualizar el sistema de Windows
Kaspersky publicará más detalles técnicos de la vulnerabilidad CVE-2024-30051 una vez que haya pasado el tiempo suficiente para que la mayoría de los usuarios actualicen sus sistemas Windows al más reciente disponible.
De manera particular, la empresa de ciberseguridad es capaz de detectar los exploits y ataques que utilizan a CVE-2024-30051 con los siguientes veredictos:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Con esta información, los usuarios pueden estar al pendiente de cuáles son los nombres con los que el malware se distribuye para robar los datos financieros de las personas.
[TE PODRÍA INTERESAR: “Coyote”, el nuevo virus bancario que puede robar tus datos financieros]
¿Cómo se encontró este ataque con virus bancarios?
El 1 de abril, se subió un documento a “Virus Total“, el cual insinuaba sobre una posible vulnerabilidad del sistema operativo Windows. A partir de ahí, Kaspersky tomó medidas al respecto.
Dicho documento estaba escrito en un inglés defectuoso y le faltaban detalles sobre cómo activar la vulnerabilidad. Sin embargo, describía un proceso de explotación similar al exploit de día cero CVE-2023-36033, identificado en 2023.
Al sospechar que la vulnerabilidad era ficticia o no explotable, el equipo de Kaspersky procedió con su investigación. En efecto, se trataba de una verdadera vulnerabilidad de día cero capaz de aumentar los privilegios del sistema atacado.
- Un ataque de “día cero” es es una vulnerabilidad de software que los atacantes descubrieron antes de que el proveedor sepa siquiera de su existencia, según los propios expertos de Kaspersky.
Los investigadores de Kaspersky, Boris Larin y Mert Degirmenci, responsables de este hallazgo, informaron rápidamente sus conclusiones a Microsoft, que verificó la vulnerabilidad y la asignó como CVE-2024-30051.
Posteriormente, se analizaron detalles de su funcionamiento y encontraron la presencia del troyano bancario para robar las credenciales bancarias de los usuarios.
