El supuesto grupo pirata informático norcoreano a veces llamado "Hidden Cobra" usó un exploit de Adobe Flash previamente desconocido para obtener acceso a los sistemas de las instituciones financieras turcas la semana pasada, dice la firma de seguridad McAfee.
El CERT (Computer Emergency Readiness Team) de Corea del Sur emitió una advertencia de que circulaba un código de ataque en estado salvaje que explotaba la falla del día cero (0day).
"Hemos encontrado lo que puede ser una etapa temprana de recopilación de datos para futuros atracos posibles de organizaciones financieras en Turquía (y posiblemente en otros países)", según McAfee.
El grupo de piratería, cada vez más sofisticado, está explotando una vulnerabilidad de día cero (0day) en el programa Flash Player de Adobe, que les permite tomar el control total de las máquinas infectadas, dijeron investigadores el viernes.
La vulnerabilidad crítica de uso después de la liberación, que está indexada como CVE-2018-4877, reside en la última versión del Flash ampliamente instalado, informaron investigadores del grupo Talos de Cisco Systems en una publicación de blog. Adobe dijo por separado que las versiones anteriores a Flash 28.0.0.137 actuales también son susceptibles.
Las organizaciones recibieron correos electrónicos dirigidos, incluyendo documentos de Word con código Flash incrustado, los que aprovecharon una vulnerabilidad de Flash compleja que les permite ejecutar comandos arbitrarios. En este caso, eso permitió a los piratas informáticos instalar un malware controlado remotamente conocido como Bankshot, reportado por primera vez por el Departamento de Seguridad Nacional de EE.UU., y funcionarios del FBI en diciembre.
"El FBI asegura que los actores de “Hidden Cobra” están utilizando variantes del malware junto con servidores proxy para mantener una presencia en las redes de las víctimas y para una mayor explotación de la red", dijeron en ese momento.
Adobe ya ha solucionado errores de Flash. En los últimos años han ocurrido ataques similares ataques al sistema internacional de transferencia de fondos SWIFT, según McAfee.
El régimen de Corea del Norte, perennemente escaso de dinero en efectivo, ha recurrido a los atracos en línea de bancos y monedas digitales, e incluso a la criptomoneda clandestina, para recaudar fondos. En febrero, por ejemplo, un funcionario de Corea del Sur culpó al Norte por robar miles de millones de won en criptomoneda de las bolsas de Corea del Sur el año pasado, en parte a través de correos electrónicos de spear-phishing cargados de malwares.
Fuente: https://www.fastcompany.com/40541953/cash-strapped-north-korea-hacked-turkish-banks-through-flash