Una nueva variante del malware WastedLocker, denominada WastedLoader, está explotando dos vulnerabilidades del motor de secuencia de comandos en navegadores de Internet Explorer sin parchear, según revela una investigación de Bitdefender.
El nuevo malware se basa en la campaña de RIG Exploit Kit, que fue descubierta por la compañía de ciberseguridad el pasado mes de febrero y aún sigue activa. Se dirige a los navegadores Internet Explorer sin parches que utilizan vulnerabilidades conocidas de VBScript, concretamente las vulnerabilidades CVE-2019-0752 y CVE-2018-8174, y la mayor parte de sus ataques se produjeron Europa y América, con especial incidencia en España, Francia, Italia y Rumania.
A diferencia de WastedLocker, este nuevo malware no tiene el componente ransomware y, dado que simplemente actúa como cargador para la carga útil, los investigadores lo han llamado WastedLoader.
Los usuarios se infectan al visitar una web legítima, sin necesidad de interacción adicional
La investigación de Bitdefender explica que la cadena de explotación del malware empieza con anuncios maliciosos situados en páginas web legítimas. Al hacer clic en estos anuncios, se redirige a las potenciales víctimas a la página de destino "RIG EK", que a su vez activa los dos exploits basados en las dos vulnerabilidades en Internet Explorer. Si uno de los dos tiene éxito, el malware se ejecuta automáticamente.
WastedLoader es un cargador que se comunica con un servidor C&C separado para inyectar cualquier carga útil en la memoria (incluido el ransomware). La investigación de Bitdefender desgrana las distintas fases de su cadena de ataque así como las herramientas que utiliza. También señala que estos hosts han sido identificados como los que redirigen a la página web de RIG EK, por lo que evidentemente es recomendable no visitarlos para evitar riesgos:
- traffic.allindelivery.net;
- myallexit.xyz;
- clickadusweep.vip;
- enter.testclicktds.xyz;
- zeroexit.xyz;
- zero.testtrack.xyz.
Para protegerse de WastedLoader, Bitdefender insta a las organizaciones a que se aseguren de que los parches del navegador Internet Explorer estén actualizados y que la seguridad de los endpoints y los sistemas EDR detecten IOC (Indicadores de Compromiso).