Noticias

Adobe otra vez…

Los delincuentes siguen encontrando y explotando vulnerabilidades en los productos más populares de Adobe: Acrobat y Reader.

Hace algunos días recibimos un archivo PDF interesante (detectado como Exploit.JS.Pdfka.bui), que contenía un exploit para la vulnerabilidad CVE-2010-0188, descubierta por primera vez en febrero en la versión 9.3 y posteriores de Adobe.

Lo primero que llama la atención es la imagen TIFF defectuosa en el archivo PDF.

La vulnerabilidad, una saturación de buffer, aparece cuando se ingresa al área de la imagen. El ataque emplea la técnica ‘heap spraying’, que utilizan muchos exploits capaces de ejecutar códigos JavaScript. El ataque Aurora es un ejemplo claro y reciente de esta técnica.

Si se explota la vulnerabilidad con éxito, se cambia la dirección del remitente por la dirección predefinida 0xC0C0C0C0. Allí es donde se encuentra el código controlado por los cibercriminales.

Después salta a una dirección que contiene un shellcode que al principio decodifica el texto y después el archivo ejecutable, que también está incluido en el archivo PDF original.

Se agrega el archivo ejecutable decodificado (que detectamos como Backdoor.Win32.Agent.aqoj) a la carpeta raíz el disco C: para ejecutarlo. Su propósito es enviar datos sobre el ordenador de la víctima a un servidor remoto y descargar otros archivos maliciosos al ordenador infectado.

Adobe no tardó en lanzar una actualización para los productos afectados. Pero esto no detendrá a los cibercriminales porque, a juzgar por experiencias pasadas, los usuarios tardan en instalar la actualización en sus equipos y los delincuentes no dudarán en explotar la vulnerabilidad hasta que lo hagan. Para evitar ser víctima de este ataque y de otros parecidos, recomendamos que instalen las últimas actualizaciones para Acrobat y Reader.

Adobe otra vez…

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada