El vector inicial de ataque del exploit es vía un documento de Microsoft Word que instala el malwarecomercial FinSpy. Kaspersky Lab ha informado sobre esta vulnerabilidad a Adobe, quien emitió un aviso al respecto.

CVE-2017-11292

Según los investigadores de Kaspersky Lab, el día cero, CVE-2017-11292, fue detectado en un ataque real, y aconsejan a las empresas y organizaciones gubernamentales instalar de inmediato la actualización de Adobe.

Los investigadores creen que el grupo detrás del ataque también fue responsable de CVE-2017-8759, otro día cero reportado en septiembre, y confían en que el actor de amenazas involucrado sea BlackOasis, el cual el Equipo Global de Investigación y Análisis de Kaspersky Lab comenzó a rastrear en 2016.

El análisis revela que, una vez que se explota con éxito la vulnerabilidad, el malware FinSpy (también conocido como FinFisher) queda instalado en la computadora destino.

FinSpy

FinSpy es un malware comercial que generalmente se vende a Estados-Nación y agencias del orden público para llevar a cabo tareas de vigilancia.

En el pasado, el uso del malware era principalmente doméstico, y las agencias del orden público lo implementaban para la vigilancia de objetivos locales.

BlackOasis es una excepción importante en este sentido: al usarlo contra una variedad de objetivos en todo el mundo.

Esto parece sugerir que FinSpy está alimentando las operaciones de inteligencia global, con un país que lo usa contra otro.

Las compañías que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.

El malware utilizado en el ataque es la versión más reciente de FinSpy, equipada con múltiples técnicas anti-análisis para dificultar el análisis forense.

Después de la instalación, el malware establece un punto de apoyo en la computadora atacada y se conecta a sus servidores de mando y control ubicados en Suiza, Bulgaria y los Países Bajos, a la espera de más instrucciones y exfiltrar la información.