ESET alerta que cibercriminales ofrecen en foros de hacking exploits para
vulnerabilidades zero-day en Zoom, que permiten comprometer dispositivos de los
usuarios y espiar las llamadas que realizan a través de la herramienta.
A los problemas de seguridad que se han conocido en Zoom durante las últimas
semanas se suma la novedad de que están siendo comercializados en el mercado dos
exploits para vulnerabilidades críticas en este software de videoconferencias. ESET
Latinoamérica, compañía líder en la detección proactiva de amenazas, explica que las
vulnerabilidades que aprovechan estos exploits están presentes en el cliente para Windows
y en el de MacOS, y permitirían a un atacante comprometer los dispositivos de los usuarios
y espiar las llamadas que realizan a través de la herramienta.
El sitio Motherboard explicó que tres fuentes conocedoras de estos mercados
confirmaron la comercialización de estos dos exploits. Si bien no se conocen los detalles de
los códigos maliciosos que aprovechan estos fallos, las distintas fuentes fueron contactadas
por intermediarios que se los han ofrecido.
Un exploit no es un malware, sino un código que permite aprovechar el fallo para
que el atacante pueda acceder a un sistema y proporcionar los permisos necesarios para
luego infectarlo. “Los exploits zero-days son códigos que explotan vulnerabilidades
desconocidas; es decir, que no han sido reportadas previamente al público, lo que significa
que no hay un parche o actualización disponible que repare el fallo de seguridad y por eso
suponen una grave amenaza.”, comentó Camilo Gutiérrez, Jefe del Laboratorio de
Investigación de ESET Latinoamérica.
Los exploits para una vulnerabilidad zero-day suelen ser comercializados en el
mercado negro por grandes sumas de dinero, dependiendo del software al que afectan. En el
caso de Zoom, y la gran popularidad que ha tenido como consecuencia de la pandemia del
coronavirus (COVID-19), despertó el interés de los cibercriminales, quienes pusieron su
atención en este software con la esperanza de descubrir vulnerabilidades para luego
venderlas en la dark web y foros de hacking, explicó Vice.
En el caso del exploit zero-day para el cliente de Zoom en Windows, el mismo
aprovecha una vulnerabilidad que permite la ejecución remota de código en la computadora
de la víctima. Estos exploits son de gran valor, ya que permiten a un atacante comprometer
el dispositivo apuntado sin necesidad de recurrir a correos de phishing en los que se
necesita que la víctima cometa un error y descargue un archivo o haga clic en un enlace.
Según confirmó una de las fuentes, el exploit para Windows se está ofreciendo a más de
$500.000.
En el caso de la zero-day para el cliente Zoom en MacOS, no se trata de un exploit
de ejecución remota de código y es más difícil de utilizar, lo que lo hace menos severo.
También se conoció que cibercriminales están vendiendo en la dark web y foros
clandestinos cuentas de Zoom por muy poco dinero y en algunos casos las están ofreciendo
incluso de manera gratuita. Las formas en las que obtienen estas credenciales es mediante
ataques de credential stuffing, el cual consiste en la utilización de combinaciones de
nombres de usuario y contraseñas que fueron filtradas en distintas brechas de seguridad y
que permite a los atacantes armar un listado de aquellas combinaciones que funcionan para
luego venderlas a otros cibercriminales para realizar otros ataques.
“Desde ESET apostamos a la educación y la concientización como herramientas
fundamentales de protección, ya que al conocer los riesgos es más fácil prevenirlos.
Mantener actualizados los sistemas, contar con una solución de seguridad confiable, utilizar
doble factor de verificación en las contraseñas nos permiten disfrutar de Internet de manera
segura.”, concluye Gutiérrez.
En el contexto de aislamiento por el COVID-19, ESET comparte
#MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que
ayudan a aprovechar los días en casa y garantizar la seguridad de los más chicos mientras
se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY
para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas
prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos
online que ayudan a sacar el mayor provecho de la tecnología y Digipadres, para leer
consejos sobre cómo acompañar y proteger a los niños en la Web.
