Ejecución remota de código en aplicaciones Electron

Electron, el conocido framework de aplicaciones de escritorio, en el que se basan Slack, Atom, Skype, Signal e incluso Visual Studio Code por ejemplo, han corregido una grave vulnerabilidad de ejecución remota de código que afecta a las versiones Windows que utilizan manejadores de protocolo personalizados.

 

 

Si hace unos meses alertábamos de las potenciales vulnerabilidades que se presentaban en el ecosistema de aplicaciones basadas en Electron, el reporte facilitado esta semana por Github, confirma esta tendencia.

En este caso, la vulnerabilidad (CVE-2018-1000006) reside en el uso de manejadores de protocolo personalizados, utilizados para identificar un URI, myapp://, asociado y registrado para una aplicación basada en Electron.

Inspeccionando los cambios en el código, se puede observar cómo era posible ejecutar código remotamente si un usuario hacía click en este tipo de URIs, ya que no se controlaba debidamente los parámetros de ejecución, en base a una blacklist.

Utilizando ciertos parámetros, como el parámetro de tipo debug, “gpu-launcher”, se podrían lanzar instancias del sistema, como muestra el PoC realizado por CHYbeta:

Fuente: CHYbeta

Otros investigadores, como wflki, han demostrado este tipo de vulnerabilidad en el wallet de criptomonedas, Exodus:

Fuente: wflki
Electron ha publicado nuevas versiones (1.8.2-beta.4, 1.7.11 y 1.6.16) y urge a los desarrolladores a actualizar sus aplicaciones lo antes posible. También han publicado las contramedidas oportunas, para aquellos que no puedan actualizar por el momento.


Más información:
Protocol Handler Vulnerability Fix
CVE-2018-1000006-DEMO
https://github.com/CHYbeta/CVE-2018-1000006-DEMO

Exploiting Electron RCE in Exodus wallet
https://medium.com/@Wflki/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374

Recent protocol handler bug disclosed by Electron as seen in Windows Defender ATP
https://twitter.com/WDSecurity/status/955909703359516673

Microsoft publica actualización para deshabilitar el parche de la 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática

Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una “auténtica y rotunda basura”, ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.

La actualización ha sido publicada para su descarga en Windows 7 (SP1), Windows 8.1, y todas las versiones de Windows 10, tanto para cliente como para servidor. La actualización debe ser instalada por el propio usuario, no siendo esta una actualización programada. Cabe recordar, que la propia Intel recomendó el pasado día 22 parar la propagación de este parche que mitiga la segunda variante de Spectre. Entre los problemas que ha provocado el parche, se encontrarían reinicios de forma aleatoria e incluso pérdida y corrupción de datos.

Microsoft también ha publicado instrucciones de cómo desactivar el parche de forma manual sin utilizar esta actualización, tanto para usuarios finales avanzados (KB4073119) como para clientes de servidor (KB4072698). También ha recordado en la publicación de la actualización que los usuarios no afectados por la vulnerabilidad no necesitan instalarla. Para saber si eres vulnerable, Intel publicó el día 24 una guía con las familias de procesadores afectados.

Los problemas con los parches y la actuación de Intel ya le ha valido para ser demandada por usuarios, y el Congreso de Estados Unidos ha pedido explicaciones sobre por qué se ha mantenido tanto en tiempo en secreto. Recordemos que el fallo se conoce al menos desde el 1 de junio de 2017, habiendo tenido Intel al menos 7 meses para depurar los parches de los diferentes sistemas. Ahora, los problemas de Intel podrían ir a más tras conocerse que advirtió antes a compañías chinas antes que al gobierno estadounidense.

No obstante, a pesar del huracán mediático al que se enfrenta Intel desde que inició el año,sus acciones no se han visto tan afectadas como algunos esperarían, y los precios de sus procesadores no parecen haberse visto afectados.

Más información:
 
Comentario de Linus Torvalds sobre el parche:

Nota de prensa sobre resultados de Intel en el cuarto trimestre de 2017:
https://www.intc.com/investor-relations/investor-education-and-news/investor-news/press-release-details/2018/Intel-Reports-Fourth-Quarter-2017-Financial-Results/default.aspx

Guía de procesadores vulnerables:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Demandas colectivas contra Intel:
https://www.theguardian.com/technology/2018/jan/05/intel-class-action-lawsuits-meltdown-spectre-bugs-computer

Comunicado de El Congreso de los Estados Unidos:
https://energycommerce.house.gov/wp-content/uploads/2018/01/Meltdown-Spectre-Letters.pdf

Compañías Chinas conocieron las vulnerabilidades antes de el gobierno de EEUU:
https://www.wsj.com/articles/intel-warned-chinese-companies-of-chip-flaws-before-u-s-government-1517157430?tesla=y&mod=e2tw

Acciones de Intel:
http://www.nasdaq.com/es/symbol/intc/interactive-chart?timeframe=1m&charttype=line

Precio de procesador Intel en el tiempo:
https://camelcamelcamel.com/Intel-Desktop-Processor-i7-7700K-BX80677I77700K/product/B01MXSI216

ADB.Miner: nueva botnet dedicada al minado de criptomonedas

El pasado 3 de febrero un nuevo gusano dirigido al minado de criptomonedas empezó a propagarse rápidamente a través de dispositivos Android, principalmente en China y Corea del Sur.

El malware en cuestión busca dispositivos con el puerto 5555 abierto, utilizado por la herramienta de depuración ‘ADB‘. Para realizar estos escaneos utiliza partes del módulo de exploración SYN de MIRAI.

NetworkScan Mon – http://scan.netlab.360.com/#/dashboard

La gráfica muestra el aumento significativo de los escaneos dirigidos al puerto 5555.Situándose en poco tiempo en el TOP 10 de NetLab. Algo que no ocurría desde la campaña de MIRAI en septiembre de 2016.

NetworkScan Mon – http://scan.netlab.360.com/#/dashboard

La mayoría de dispositivos infectados son móviles y aparatos de smart TV basados enAndroid con la interfaz de depuración ‘ADB‘ activada. Estos dispositivos intentan propagar el malware de forma activa. Para ello, el dispositivo inicia un escaneo del puerto 5555 e intenta infectar a otra víctima con la herramienta de depuración ‘adb’ activa:

  1. Se conecta por ‘adb’ al dispositivo remoto.
  2. Replica y ejecuta el código malicioso en el nuevo dispositivo.
Proceso de propagación – Fuente: http://blog.netlab.360.com/

Mientras tanto, el dispositivo infectado se dedica a minar la criptomoneda ‘Monero (XMR)‘ utilizando el software ‘xmrig‘:

Configuración de xmrig – Fuente: http://blog.netlab.360.com/

A día de hoy todavía no se ha efectuado ningún ingreso en la cartera del atacante:

Como medida preventiva se recomienda desactivar la herramienta de depuración de Android cuando no se esté utilizando.

IOCs

  • MD5 (bot.dat) bc84e86f8090f935e0f1fc04b04455c6
  • MD5 (botsuinit_1_1.txt) cd37d59f2aac9101715b28f2b28b7417
  • MD5 (config.json) 27c3e74b6ddf175c3827900fe06d63b3
  • MD5 (droidbot) 412874e10fe6d7295ad7eb210da352a1
  • MD5 (droidbot.apk) 914082a04d6db5084a963e9f70fb4276
  • MD5 (nohup) 9a10ba1d64a02ee308cd6479959d2db2
  • MD5 (sss) 6a22c94d6e2a18acf2377c994d0186af
  • MD5 (xmrig32) ac344c3accbbc4ee14db0e18f81c2c0d
  • MD5 (xmrig64) cc7775f1682d12ba4edb161824e5a0e4
Más información:
 
Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

ADB.Miner 安卓蠕虫的更多信息
http://blog.netlab.360.com/adb-miner-more-information/

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

 

El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba:

Sites that support automatic background updates are already beginning to update automatically.

Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total).

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.

 

Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicabaun artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.

La vulnerabilidad se encuentra en el fichero ‘load-scripts.php’. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones.
Como parámetro se pasa al fichero un array llamado load que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.
Dado que esta petición es muy pesada, una repetición constante de la misma puede provocar la sobrecarga del servidor, llevando finalmente a la denegación de servicio. Y peor aún, el fichero ‘load-scripts.php’ no requiere autenticación para ser llamado ya que, aunque forma parte de la zona de administración, es también accesible desde la pantalla de entrada ‘wp-login.php’.
A pesar de la facilidad de explotación, WordPress no ha aceptado la vulnerabilidad, ya que según responden a Tawily:

“This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress’s control.”

Aun así, Tawily ha publicado su propio parche y un script que soluciona la vulnerabilidad.

Más información:
 

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsApp Web es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

En un principio WhatsApp Web solo se podía usar desde terminalesAndroid, pero la aplicación ha ido evolucionando permitiendo la compatibilidad con iOS. Esta limitación era debida a limitaciones en la API de iOS al manejar las aplicaciones en segundo plano, ya que no permitía mantener una conexión abierta a un servidor ni aceptar conexiones entrantes desde el navegador.

El modelo de funcionamiento de esta aplicación web contempla dos formas de uso:

  • Si comparten conexión WiFi el equipo y el terminal móvil, la conexión se establecerá del equipo al móvil mediante la WiFi, y del móvil a los servidores finales de WhatsApp usando la conexión de datos (o la misma conexión WiFi si no está disponible la conexión de datos).
  • En caso de que no compartan conexión WiFiel equipo se comunica con servidores intermedios de WhatsApp a través de su conexión a Internet (sin pasar por el móvil). Estos servidores intermedios deWhatsApp contactan con el móvil a través de su conexión de datos, yfinalmente el móvil envía los mensajes a través de su conexión de datos (u otra WiFI externa) a los servidores finales de WhatsApp.

En resumidas cuentas, la aplicación web no es más que una forma de control remoto sobre la aplicación de WhatsApp que funciona en el móvil. Es fácil darse cuenta de esto, ya que cuando el móvil pierde conexión a Internet, WhatsApp Web deja de funcionar al instante. Lo cierto es que simplifica bastante la gestión de la seguridad por parte de WhatsApp si te obligan a pasar por el móvil, y se aseguran de que el usuario no se desvincula de la aplicación móvil.

La segunda forma de uso (compartiendo WiFi) se puede controlar filtrando fácilmente a nivel de red, sin embargo la primera forma de uso es algo más complicada de controlar, y es más fácil su filtrado a nivel de los equipos de sobremesa de los empleados. Particularmente, es más complicado su filtrado si el móvil se conecte a los servidores finales de WhatsApp a través de su conexión de datos, en vez de usar la WiFi. Si hablamos de la primera forma, la complejidad, debemos considerar de que el tráfico de red no saldrá por nuestra conexión a Internet y la complejidad del filtrado aumenta.

No obstante, si controlamos la configuración de red de cada uno de los equipos, una solución sencilla para controlar ambas formas de uso seríabloquear la resolución de nombres del dominio ‘web.whatsapp.com. Este dominio es el usado por WhatsApp Web, de forma que impediríamos efectivamente el acceso a la aplicación web. Una de las formas de hacerlo: Modificar el archivo ‘/etc/hosts’ en Linux oC:\WINDOWS\system32\drivers\etc\hosts’ en Windows para que apunte alocalhost (una forma clásica de impedir la resolución de un dominio).

127.0.0.1 web.whatsapp.com 

Habría que tener cuidado con las cachés de las que disponen los navegadores modernos, que en algunos casos guardan las resoluciones de los dominios, y aunque actualmente se haya apuntado el dominio a otra dirección, pueden seguir cargando la dirección antigua real. También existen algunas otras formas de llevar a cabo este bloqueo, como el uso de plugins, o el filtrado desde el propio firewall del equipo.

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados

Botnet ‘Smominru’ afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones.

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue(CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas. 

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de ‘Smominru’ se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año.

Nuevo 0-day en Flash Player, o el cuento de nunca acabar

Ni siquiera el hecho de ser una tecnología en retirada está salvando a Adobe Flash Player de vulnerabilidades 0-day. En esta ocasión es el CERT de Corea del Sur el que detecta una vulnerabilidad desconocida que ya está siendo activamente explotada.

 

Aunque quedan tres años para el adios definitivo a Adobe Flash, aun hay tiempo suficiente para que los atacantes sigan viendo en este un vector de ataque con garantías de éxito. Esta vez se trata de una vulnerabilidad 0-day en Adobe Flash Player, que según el aviso publicado por el CERT de Corea del Sur está siendo activamente explotada.

Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo ‘use-after-free‘ que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.

Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.

A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado,algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.

Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.

Más información:
Adobe Flash Player New Vulnerability Advisory Recommendation:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998

Security Advisory for Flash Player | APSA18-01:
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

Vulnerabilidad crítica en Cisco ASA y FTD permite ejecución remota de código y DoS

La vulnerabilidad se encuentra en la capa SSL de la funcionalidad VPN de ambos productos y ha recibido la puntuación máxima posible al considerarse crítica.

Cisco ha publicado el pasado día 29 un parche de seguridad para solucionar un fallo crítico en la capa SSL de la funcionalidad VPN de Cisco Adaptive Security Appliance (ASA) con identificador CVE-2018-0101. Cisco ha otorgado el CVSS máximo a esta vulnerabilidad y ha publicado la siguiente lista de productos afectados:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

La vulnerabilidad es explotable cuando la funcionalidad webvpn se encuentra activa y una interfaz se encuentra como ‘enabled’ en la configuración. Al cumplirse las condiciones, un atacante puede aprovechar el fallo para enviar paquetes XML especialmente manipulados y provocar un intento de duplicar una región libre en memoria, lo que produce el error. Firepower Threat Defense (FTD) también es vulnerable al incluir éste ASA.

El error permite la ejecución remota de código en los productos afectados y el reinicio del dispositivo. La única solución, a parte de desactivar la funcionalidad, es aplicar el parche liberado. Las versiones vulnerables son las 8.x y 9.x de ASA, y las posteriores a 6.2.2 de FTD. Los usuarios de ASA 8.x deben actualizar al menos a la versión 9.1.7.20.

Más información:
 
Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability:

Filtrados más de 30 millones de documentos de identidad de ciudadanos sudafricanos

ación personal sobre más de 30 millones de ciudadanos sudafricanos.

El fichero, de nombre ‘masterdeeds.sql’ contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.

Estructura de la bbdd filtrada

Hasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.

No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a “TransUnion” y “Dracore Data Sciences” una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.

Entre los servicios que ofrece Dracore se encuentra “GoVault“, que se anuncia como “La mina de oro de información sobre propietarios y compradores sudafricanos”.

Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el ‘leak’ y le pasa la pelota a Jigsawseñalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.

Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.

 

Más información:

What We Know So Far About South Africa’s Largest Ever Data Breach
Is Dracore Data Sciences Responsible For South Africa’s Largest Ever Data Leak?

Adobe actualiza Flash Player para corregir un 0-day

Adobe ha publicado una nueva actualización para Adobe Flash Player, que soluciona el 0-day anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el control de los sistemas afectados.

 

Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. Afecta a las versiones de Adobe Flash Player para Windows,MacintoshLinux, y los navegadores ChromeInternet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.

Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis(recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APTEl objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONUbloggers, activistas políticos…), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.

Este tipo de amenazas, las APT, suelen contar con exploits 0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usandoActiveX desde un documento de Microsoft Office.

Más información:
 
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

FinFisher ataca de nuevo, ahora con posible apoyo de ISP’s
http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html