Todas las aplicaciones de Microsoft Office son susceptibles de sufrir ataques homógrafos que utilizan nombres de dominio internacionalizados (IDN), según ha descubierto Bitdefender en una investigación que acaba de publicar.
Tal y como explica la compañía de ciberseguridad, los ataques de phishing homógrafos, también conocidos como homógrafos, se basan en la utilización de caracteres similares a los originales para registrar dominios que se hacen pasar por los auténticos. Por ejemplo, sustituyendo la "o" por "0" en g00gle.com. Sin embargo, advierte que los ataques homógrafos basados en IDN van un paso más allá y es muy complicado detectarlos.
La razón es que los dominios IDN sustituyen algún carácter del estándar ASCII por otro distinto visualmente idéntico o muy parecido de diferentes alfabetos que naturalmente tienen asignado distintos códigos Unicode.
"Los caracteres que se ven similares se conocen como homógrafos y existen en los tres principales alfabetos europeos (latín, cirílico y griego). Los ataques homógrafos abusan de las similitudes entre estos caracteres y del hecho de que Unicode los trata como entidades separadas en lugar de unificarlos bajo el mismo número de código. Para los humanos, la 'a' latina y la 'a' cirílica resultan iguales, pero los dispositivos las ven como una letra completamente diferente", indica Bitdefender.
Su investigación ha estado principalmente centrada en los ataques de IDN que afectan a los navegadores, los cuales resalta que no son nuevos. Pero advierte que otras aplicaciones utilizan nombres de dominio falsificados y aún son vulnerables, incluidas todas las aplicaciones y versiones de Microsoft Office (Outlook, Word, Excel, Powerpoint, OneNote, etc.), las cuales afirma que son susceptibles de sufrir ataques homógrafos.
Microsoft lo sabe desde octubre, pero no lo soluciona
Bitdefender sostiene que informó a Microsoft sobre la existencia de esta vulnerabilidad en octubre de 2021 y que el Centro de Respuestas de Seguridad de la compañía confirmó sus hallazgos. Sin embargo, apunta que hasta la fecha de la publicación de esta investigación, este jueves 2 de junio, Microsoft no ha solucionado este problema ni está claro si lo va a hacer o, en tal caso, cuándo lo hará.
"La buena noticia es que lo más probable es que los ataques homógrafos no se generalicen, ya que no son fáciles de configurar o mantener", señala la firma de ciberseguridad. No obstante, avisa que son una herramienta peligrosa y efectiva utilizada para campañas basadas en amenazas persistentes avanzadas (APT) y atacantes de alto nivel que buscan objetivos concretos que aporten un valor importante, ya sean empresas específicas, como bancos, o actividades determinadas, como el intercambio de criptomonedas
Las recomendaciones de Bitdefender
Ante esta ciberamenaza, la compañía de ciberseguridad insta a las empresas a estar alerta y a tomar las siguientes medidas:
- Incluir información sobre los ataques de homógrafos en las actividades de formación y concienciación dirigidas a sus empleados.
- Implementar una solución de seguridad para el endpoint que detecte y bloquee sitios web maliciosos.
- Utilizar los servicios de reputación de IP y URL en todos sus dispositivos.
- Usar la autenticación multifactor para evitar la recopilación de credenciales.
- Considerar la posibilidad de sufrir un ataque homógrafo en la cadena de suministro. ¿Cuánto daño se puede causar falsificando las identidades de dominio de sus proveedores, clientes o socios críticos?
- Registrar todos los dominios que puedan estar asociados a su empresa. Bitdefender ha constatado en su investigación que son pocas las compañías que registran proactivamente todos los posibles dominios de suplantación de identidad, aunque las combinaciones son limitadas dado que los IDN se limitan a un conjunto de caracteres.