Microsoft, en su último informe de inteligencia de seguridad, alerta de la existencia de un grupo cibercriminal llamado Strontium, que usa exploits de día cero para robar información confidencial de objetivos muy importantes. Reportes señalan que desde 2007, el grupo ha atacado organizaciones gubernamentales, instituciones diplomáticas, fuerzas e instalaciones militares, asesores y organizaciones políticas.

Según Microsoft, Strontium presenta dos componentes. El primero es un ataque de spear phishing que se dirige a individuos específicos dentro de una organización. Este intento de phishing se utiliza para recopilar información sobre posibles objetivos de alto valor y robar sus credenciales de inicio de sesión.

El correo electrónico de phishing normalmente intenta hacer creer a la víctima de que ha habido un acceso no autorizado a su cuenta, le pide cambiar su contraseña a través de un enlace a un sitio web bajo el control del atacante. Al visitar el sitio web malicioso se también puede enviar información sensible para el atacante. Incluso cuando no se introducen credenciales, esa información incluye detalles del equipo de cómputo de la víctima y puede ser utilizada para lanzar exploits de software.

En una segunda fase, Strontium intenta descargar malware utilizando las vulnerabilidades de software para infectar aún más los equipos y extenderse a través de las redes. Los ataques a menudo utilizan exploits de día cero que se dirigen a las vulnerabilidades en las cuales el proveedor de software afectado aún no ha publicado una actualización de seguridad. Si el ataque tiene éxito, el atacante intenta comprometer otras máquinas dentro de la organización a fin de recopilar más información sensible.

Microsoft señala que durante el primer semestre de 2015, el grupo Strontium ha atacado ya a varios miles de personas mediante spear phishing.

-Hilda Gómez