La compañía de ciberseguridad Kaspersky ha identificado una vulnerabilidad en el sistema operativo Windows, que ha calificado como «crítica», en la que una puerta trasera ubicada en los ‘scripts’ del sistema permitía a los atacantes hacerse con el control del dispositivo.
El ataque se aprovecha de una vulnerabilidad día cero de Windows, localizada en el marco de ‘scripting’ PowerShell, legítimo del sistema operativo y presente en todas las máquinas que lo emplean, según explica Kaspersky Lab en un comunicado.
A través de la ejecución de un archivo malicioso tipo .EXE, los atacantes aprovecharon la puerta trasera para obtener privilegios y permanecer dentro del sistema, permitiéndoles además no ser detectados.
El ‘malware’, a continuación, descargó otro ‘backdoor’ desde un popular servicio de almacenamiento de texto, dando a los cibercriminales el control total sobre el sistema infectado, como ha descrito Kaspersky.
La compañía de ciberseguridad ha detectado que la vulnerabilidad crítica de Windows ya ha sido utilizada por un grupo de cibercriminales desconocido, a través de al menos tres ‘exploits’ distintos que aprovechaban la puerta trasera.
Microsoft, que ya ha sido informado de la vulnerabilidad, le ha puesto fin a través de un nuevo parche que se distribuye desde el pasado 10 de abril.
«En el ataque pudimos observar dos tendencias principales que a menudo vemos en las Amenazas Persistentes Avanzadas (APT). Primero está el uso de ‘exploits’ de privilegios locales para permanecer dentro de la máquina de la víctima. Segundo es el uso de elementos legítimos, como Windows PowerShell, para llevar a cabo actividades maliciosas dentro de la máquina de la víctima», explica en el comunicado Anton Ivanov, experto de seguridad en Kaspersky Lab.