Dirigidos hacia una vulnerabilidad recién descubierta en el sistema operativo Windows, la serie de ataques identificados por Kaspersky genera inquietudes significativas en la seguridad informática. Esta situación causa preocupación, dado que los ciberdelincuentes podrían aprovechar esta brecha para comprometer sistemas y redes con graves repercusiones.
Kaspersky comenzó a monitorear exploits y ataques utilizando esta vulnerabilidad previamente desconocida
Kaspersky ha descubierto una nueva vulnerabilidad de día cero en Windows, identificada como CVE-2024-30051. Este hallazgo se produjo durante la investigación sobre la vulnerabilidad de elevación de privilegios en la biblioteca central DWM de Windows (CVE-2023-36033) a principios de abril de 2024. El troyano bancario QakBot y otros agentes de amenaza aprovecharon esta vulnerabilidad.
El 1 de abril de 2024, los investigadores de Kaspersky se encontraron con un documento en 'VirusTotal' que despertó su interés. Aunque el documento carecía de detalles y estaba mal redactado, sugirió la existencia de una vulnerabilidad en Windows. Tras una rápida verificación, se confirmó que era una verdadera vulnerabilidad de día cero que permitía la escalada de privilegios en el sistema atacado.
Boris Larin y Mert Degirmenci, Investigadores de Kaspersky, informaron rápidamente a Microsoft sobre este hallazgo. Microsoft verificó la vulnerabilidad y la identificó como CVE-2024-30051. Tras el informe, Kaspersky comenzó a vigilar los exploits y ataques que aprovechaban esta vulnerabilidad previamente desconocida. A mediados de abril, detectaron que la vulnerabilidad estaba siendo explotada en conjunto con el troyano bancario QakBot y otros malware, lo que sugiere que varios agentes de amenaza tenían conocimiento de esta vulnerabilidad.
Boris Larin declaró: "El documento sobre VirusTotal nos pareció interesante debido a su naturaleza descriptiva y decidimos investigar más a fondo, lo que nos llevó a descubrir esta vulnerabilidad crítica de día cero. La velocidad con que los agentes de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones oportunas y la vigilancia en materia de ciberseguridad".
Es crucial mantener actualizados los programas de seguridad y estar atentos a las alertas de posibles amenazas
Kaspersky tiene previsto compartir información técnica adicional sobre CVE-2024-30051 una vez que haya transcurrido un período adecuado para que la mayoría de los usuarios hayan actualizado sus sistemas Windows. La empresa expresó su agradecimiento a Microsoft por su pronta revisión y lanzamiento de parches.
Los productos de Kaspersky han sido actualizados para identificar los exploits y ataques que se valen de la CVE-2024-30051, proporcionando los siguientes veredictos: PDM:Exploit.Win32.Generic, PDM:Trojan.Win32.Generic, UDS:DangerousObject.Multi.Generic, Trojan.Win32.Agent.gen y Trojan.Win32.CobaltStrike.gen.
En lo que respecta a QakBot, Kaspersky ha estado monitoreando este sofisticado troyano bancario desde su descubrimiento en 2007. Inicialmente diseñado para el robo de credenciales bancarias, QakBot ha experimentado una evolución significativa, incorporando nuevas capacidades como el robo de correo electrónico, el registro de pulsaciones de teclas y la capacidad de propagar e instalar ransomware. Este malware se distingue por sus constantes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la ciberseguridad. En los últimos años, se ha observado que QakBot utiliza otras botnets como Emotet para su distribución.
Dada la peligrosidad de esta nueva vulnerabilidad, Kaspersky insta a usuarios y empresas a actualizar sus sistemas Windows cuanto antes. Asimismo, es esencial mantener al día los programas de seguridad y permanecer alerta ante posibles amenazas. La detección precoz y una respuesta rápida son fundamentales para salvaguardar los sistemas y la información confidencial contra los ataques cibernéticos.
Kaspersky sigue comprometido con la investigación y la identificación de nuevas amenazas, ofreciendo soluciones de seguridad efectivas para proteger a sus usuarios. La identificación de la vulnerabilidad CVE-2024-30051 y la colaboración con Microsoft subrayan la importancia de la cooperación en la lucha contra el cibercrimen y en la protección de la infraestructura digital global.
