El spam sobre el terremoto en Japón propaga malware, parte III

La semana pasada publicamos una entrada en el blog sobre una campaña de spam que utiliza el reciente terremoto en Japón como excusa para infectar a los usuarios. En este blog describiremos los exploits que se usan.
Nuestros análisis indican que los enlaces maliciosos de los correos spam dirigen a sitios web con el paquete de exploit Incognito.
Esta es una foto interesante de los servidores que alojan el paquete de exploit.

Abajo pueden ver otro ejemplo de la campaña de spam. Esta vez, los atacantes fingen que el correo electrónico proviene de Twitter:

El correo electrónico se hace pasar por un “Mensaje de Asistencia de Twitter”, y dice que tienes 6 mensajes sin leer de Twitter.
También distribuye un VIDEO: Dentro de la zona de exclusión en Fukushima.
Si el usuario visita el sitio, el enlace incrustado lo redirige al mismo tipo de sitio web malicioso que mencionamos la semana pasada. Veamos en mayor detalle los exploits que se utilizan para realizar el ataque, variantes de Trojan-Downloader.Win32.Codecpack.

Estamos haciendo un seguimiento de las páginas maliciosas. En las últimas 40 horas, se han cambiado ocho veces los dominios maliciosos que alojan los exploits. Siguen tratando de infectar a los usuarios.
Cuando se decodifica el exploit del que hablamos la semana pasada, aparecen más exploits para infectar a los usuarios:Java Deployment Toolkit: CVE-2010-0886 – April 2010

La Herramienta de Distribución de Java realiza una Validación de Parámetros Insuficiente, lo que causa una ejecución remota de códigos.

Help Center URL Validation Vulnerability: CVE-2010-1885 – June 2010

Se crea un iFrame para este exploit, y puedes ver que hay un parámetro codificado (la mayor parte está borrosa en la captura de pantalla de arriba). Al decodificarlo, aparece el siguiente código:

En esencia, se crea un archivo VBS que se ejecutará al instalar el programa malicioso en el ordenador del usuario. Al explotarlo, se termina el proceso del centro de asistencia con la línea comando “taskkill” (línea de comandos para finalizar procesos).

Java Parse Midi vulnerability : CVE-2010-0842 – April 2010

Un vistazo rápido a “pap.class” revela el exploit que se usó:

Si vemos el ataque del expoit en un editor hexadecimal, podemos confirmar la vulnerabilidad que se usó, como se puede ver en el código resaltado:

Navigation Method Cross-Domain Vulnerability – CAN-2004-0549 (ms04-25)
Esta es una de las vulnerabilidades más antiguas del paquete de exploit Incognito. La vulnerabilidad es de 2004. Ataca a Internet Explorer y permite la ejecución remota de código:

Malicious PDF

Los paquetes de exploit a menudo vienen con un PDF malicioso, e Incognito no es la excepción.
La página principal del paquete de exploit también crea un iframe a un archivo PDF malicioso. El PDF aprovecha cuatro vulnerabilidades. El PDF ofuscado utiliza JavaScript para explotar las vulnerabilidades. Dependiendo de la versión de Adobe Reader, se ejecutan los siguientes exploits:

Adobe Reader Collab GetIcon CVE-2009-0927

Adobe Reader util.printf CVE-2008-2992

Adobe Reader newPlayer CVE-2009-4324

Adobe Reader CollectEmailInfo CVE-2007-5659

¿Qué aprendemos de esta campaña de spam sobre Japón? Muchas personas todavía no actualizan sus sistemas, en especial sus aplicaciones externas. La vulnerabilidad más reciente que se explotó en los paquetes es de junio 2010, y la más antigua de 2004.
Repetiré mis recomendaciones de la entrada anterior para enfatizarlas:
Experiencias pasadas nos dicen que los cibercriminales siempre están buscando formas de ganar dinero con los desastres naturales o las noticias importantes en general. Si quieres recibir las últimas noticias sobre estos acontecimientos, recomendamos que las busques en sitios web legítimos y nunca sigas enlaces que recibas por correo o redes sociales.
También es muy importante que mantengas tu sistema actualizado, tanto el sistema operativo como las aplicaciones externas como Java, lectores de PDF, navegadores, etc.
Por último, siempre mantén tus soluciones de seguridad actualizadas.