Cómo los piratas informáticos utilizan el malware Msupedge para infiltrarse en las redes de Windows mediante un exploit PHP
En un reciente aumento de amenazas cibernéticas, los piratas informáticos están implementando activamente una puerta trasera recién descubierta llamada Msupedge para comprometer los sistemas Windows. Este sofisticado malware se identificó por primera vez en la red de una universidad en Taiwán y se cree que explota una vulnerabilidad crítica de PHP, CVE-2024-4577, para obtener acceso no autorizado y ejecutar código arbitrario.
Table of Contents
La vulnerabilidad en el núcleo
CVE-2024-4577 es una falla grave en el modo PHP-CGI (Common Gateway Interface) en sistemas Windows, que se parcheó en junio de 2024. Esta vulnerabilidad permite a los atacantes inyectar argumentos y ejecutar código arbitrario de forma remota. La falla es particularmente preocupante ya que afecta a las instalaciones PHP que se ejecutan en modo CGI, lo que la convierte en un problema de alto riesgo para los sistemas que aún no han aplicado el parche. La explotación de esta vulnerabilidad puede provocar un compromiso completo del sistema, lo que permite a los atacantes tomar el control total de la máquina atacada.
Msupedge: una nueva clase de malware
La puerta trasera Msupedge es particularmente notable por su uso del tráfico DNS para comunicarse con su servidor de comando y control (C&C), una técnica que, si bien no es nueva, rara vez se ve en acción. Este método, conocido como tunelización DNS, aprovecha la herramienta dnscat2 para encapsular datos dentro de consultas y respuestas DNS, lo que permite que el malware reciba comandos de los atacantes de forma encubierta.
Una vez dentro del sistema, Msupedge puede ejecutar una serie de comandos, activados por direcciones IP específicas asociadas con su servidor C&C. Estos comandos incluyen la creación de procesos, la descarga de archivos y la gestión de archivos temporales, lo que proporciona a los atacantes una herramienta versátil para controlar y manipular el sistema comprometido.
El ataque en acción
Según el equipo Threat Hunter de Symantec, que investigó el incidente, la intrusión inicial en la red de la universidad taiwanesa probablemente se produjo mediante la explotación de la vulnerabilidad CVE-2024-4577. Los atacantes implementaron el malware Msupedge como dos bibliotecas de vínculos dinámicos (DLL), weblog.dll y wmiclnt.dll, siendo la primera cargada por el proceso Apache httpd.exe.
Este ataque recuerda a incidentes anteriores en los que se explotaron vulnerabilidades similares de PHP, como la falla CVE-2012-1823, que se utilizó años después de su parche para propagar el malware RubyMiner. La persistencia de tales vulnerabilidades resalta la importancia de aplicar parches a tiempo y los riesgos actuales asociados con los sistemas heredados y el software sin parches.
El panorama más amplio de amenazas
El descubrimiento de Msupedge se produce en medio de una tendencia más amplia de actores de amenazas que apuntan cada vez más a vulnerabilidades recién descubiertas con una velocidad notable. Tan solo un día después de que los encargados del mantenimiento de PHP lanzaran el parche para CVE-2024-4577, los investigadores de seguridad observaron intentos generalizados de explotación, incluso por parte de la notoria banda de ransomware TellYouThePass.
Estos rápidos intentos de explotación subrayan la urgencia de que las organizaciones apliquen parches de seguridad tan pronto como estén disponibles. Las demoras en la aplicación de parches pueden abrir la puerta a ataques como los que involucran a Msupedge, que pueden tener consecuencias devastadoras para los sistemas comprometidos.
La aparición de Msupedge es un duro recordatorio de las tácticas en evolución que utilizan los cibercriminales para infiltrarse en los sistemas y evadir la detección. Al aprovechar la tunelización de DNS y explotar vulnerabilidades críticas, los atacantes siguen perfeccionando sus métodos, lo que hace que a los defensores les resulte cada vez más difícil proteger sus redes. Las organizaciones deben permanecer alertas, aplicar parches con prontitud y emplear técnicas avanzadas de detección de amenazas para mantenerse a la vanguardia de estas amenazas emergentes.
