News

Adobe otra vez…

Los delincuentes siguen encontrando y explotando vulnerabilidades en los productos más populares de Adobe: Acrobat y Reader.

Hace algunos días recibimos un archivo PDF interesante (detectado como Exploit.JS.Pdfka.bui), que contenía un exploit para la vulnerabilidad CVE-2010-0188, descubierta por primera vez en febrero en la versión 9.3 y posteriores de Adobe.

Lo primero que llama la atención es la imagen TIFF defectuosa en el archivo PDF.

La vulnerabilidad, una saturación de buffer, aparece cuando se ingresa al área de la imagen. El ataque emplea la técnica ‘heap spraying’, que utilizan muchos exploits capaces de ejecutar códigos JavaScript. El ataque Aurora es un ejemplo claro y reciente de esta técnica.

Si se explota la vulnerabilidad con éxito, se cambia la dirección del remitente por la dirección predefinida 0xC0C0C0C0. Allí es donde se encuentra el código controlado por los cibercriminales.

Después salta a una dirección que contiene un shellcode que al principio decodifica el texto y después el archivo ejecutable, que también está incluido en el archivo PDF original.

Se agrega el archivo ejecutable decodificado (que detectamos como Backdoor.Win32.Agent.aqoj) a la carpeta raíz el disco C: para ejecutarlo. Su propósito es enviar datos sobre el ordenador de la víctima a un servidor remoto y descargar otros archivos maliciosos al ordenador infectado.

Adobe no tardó en lanzar una actualización para los productos afectados. Pero esto no detendrá a los cibercriminales porque, a juzgar por experiencias pasadas, los usuarios tardan en instalar la actualización en sus equipos y los delincuentes no dudarán en explotar la vulnerabilidad hasta que lo hagan. Para evitar ser víctima de este ataque y de otros parecidos, recomendamos que instalen las últimas actualizaciones para Acrobat y Reader.

Adobe otra vez…

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada