Software

El gran ataque del servidor Chino… ¿la saga continúa?

Ayer detectamos el inicio del último ataque masivo de hackers, que altera sitios web para introducir enlaces a servidores nocivos. Creemos que en los últimos dos días este ataque ha victimado entre 2.000 y 10.000 servidores, en su mayoría de Europa Occidental y Estados Unidos. Aún no se conoce al responsable del ataque.

Todavía estamos tratando de determinar la manera exacta en la que se alteran los sitios, pero hay dos teorías probables: utilizando una inyección SQL o utilizando datos de acceso a cuentas de los sitios que ya habían sido robadas. Un factor común es que la mayoría de los sitios atacados utilizan algún tipo de motor ASP.

Estos ataques todavía no representan una amenaza de magnitud similar a los de los primeros que vimos a inicios de primavera de este año y que afectaron más de un millón y medio de recursos de la red. Pero está en constante desarrollo, y la naturaleza similar de los programas nocivos utilizados en ambos ataques nos lleva a pensar que esta nueva ola de ataques tiene el potencial de ser muy seria.

¿Cómo funcionan los ataques?

Los delincuentes agregan una etiqueta,, al HTML de los sitios atacados.

El enlace dirige a un Java Script ubicado en uno de seis servidores. Estos servidores funcionan como portales para redirigir pedidos. Hemos identificado seis de estos portales y los hemos añadido a la lista de rechazados de nuestro antivirus:

  • armsart.com
  • acglgoa.com
  • idea21.org
  • yrwap.cn
  • s4d.in
  • dbios.org

Si eres un administrador, deberías bloquear el ingreso a estos sitios.

Al visitar cualquiera de estos sitios, se redirige al usuario a un servidor nocivo llamado vvexe.com, ubicado en China. Después se lanza un ataque al ordenador de la víctima utilizando exploits.

Por ahora hemos visto varios exploits involucrados en el ataque, que aprovechan vulnerabilidades en Internet Explorer, Macromedia Flash Player y la vulnerabilidad de ActiveX (MS08-053), cuyo parche lanzó Microsoft hace menos de 2 meses. También hay exploits diseñados para atacar usuarios de Firefox.

Esta es la lista de los programas nocivos del sitio que detecta nuestro antivirus:

  • Trojan-Downloader.HTML.Agent.ls
  • Trojan-Downloader.SWF.Agent.ae
  • Trojan-Downloader.SWF.Agent.ad
  • Trojan-Downloader.SWF.Agent.af
  • Trojan-Downloader.SWF.Small.em
  • Trojan-Downloader.SWF.Small.en
  • Trojan-Downloader.JS.Agent.cwt
  • Trojan-Downloader.JS.Agent.cwu
  • Trojan-Downloader.JS.Agent.cww
  • Trojan-Downloader.JS.Agent.cwv
  • Trojan-Downloader.JS.Agent.cwx
  • Trojan-Downloader.JS.Agent.cwy
  • Exploit.JS.Agent.xu
  • Trojan-Dropper.JS.Agent.z

Si tu ordenador es vulnerable a cualquiera de estos exploits, se instalará además otro programa nocivo, Trojan-Downloader.Win32.Hah.a.

Este troyano a su vez descarga más malware, y la información de estos programas están en un archivo de configuración en el sitio vvexe.com.

Hoy vimos que se instalaban tres programas maliciosos:

Trojan-GameThief.Win32.WOW.cer – un troyano diseñado para robar datos de acceso a las cuentas del juego World of Warcraft.

Trojan-Spy.Win32.Pophot.gen – otro programa espía que roba datos y además trata de eliminar varias soluciones antivirus

Trojan.Win32.Agent.alzv – este troyano descarga aún más programas espías: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.

Si eres dueño o administrador de un sitio que utiliza un motor ASP, busca en tus páginas un enlace como este: . Si lo encuentras, elimínalo. No sólo tu seguridad está en riesgo, también la de todos los visitantes de tu sitio.

 

El gran ataque del servidor Chino… ¿la saga continúa?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada