Incidentes

El spam sobre el terremoto en Japón propaga malware, parte III

La semana pasada publicamos una entrada en el blog sobre una campaña de spam que utiliza el reciente terremoto en Japón como excusa para infectar a los usuarios. En este blog describiremos los exploits que se usan.
Nuestros análisis indican que los enlaces maliciosos de los correos spam dirigen a sitios web con el paquete de exploit Incognito.
Esta es una foto interesante de los servidores que alojan el paquete de exploit.


Abajo pueden ver otro ejemplo de la campaña de spam. Esta vez, los atacantes fingen que el correo electrónico proviene de Twitter:


El correo electrónico se hace pasar por un “Mensaje de Asistencia de Twitter”, y dice que tienes 6 mensajes sin leer de Twitter.
También distribuye un VIDEO: Dentro de la zona de exclusión en Fukushima.
Si el usuario visita el sitio, el enlace incrustado lo redirige al mismo tipo de sitio web malicioso que mencionamos la semana pasada. Veamos en mayor detalle los exploits que se utilizan para realizar el ataque, variantes de Trojan-Downloader.Win32.Codecpack.

Estamos haciendo un seguimiento de las páginas maliciosas. En las últimas 40 horas, se han cambiado ocho veces los dominios maliciosos que alojan los exploits. Siguen tratando de infectar a los usuarios.
Cuando se decodifica el exploit del que hablamos la semana pasada, aparecen más exploits para infectar a los usuarios:Java Deployment Toolkit: CVE-2010-0886 – April 2010


La Herramienta de Distribución de Java realiza una Validación de Parámetros Insuficiente, lo que causa una ejecución remota de códigos.

Help Center URL Validation Vulnerability: CVE-2010-1885 – June 2010


Se crea un iFrame para este exploit, y puedes ver que hay un parámetro codificado (la mayor parte está borrosa en la captura de pantalla de arriba). Al decodificarlo, aparece el siguiente código:


En esencia, se crea un archivo VBS que se ejecutará al instalar el programa malicioso en el ordenador del usuario. Al explotarlo, se termina el proceso del centro de asistencia con la línea comando “taskkill” (línea de comandos para finalizar procesos).

Java Parse Midi vulnerability : CVE-2010-0842 – April 2010


Un vistazo rápido a “pap.class” revela el exploit que se usó:


Si vemos el ataque del expoit en un editor hexadecimal, podemos confirmar la vulnerabilidad que se usó, como se puede ver en el código resaltado:

Navigation Method Cross-Domain Vulnerability – CAN-2004-0549 (ms04-25)
Esta es una de las vulnerabilidades más antiguas del paquete de exploit Incognito. La vulnerabilidad es de 2004. Ataca a Internet Explorer y permite la ejecución remota de código:

Malicious PDF

Los paquetes de exploit a menudo vienen con un PDF malicioso, e Incognito no es la excepción.
La página principal del paquete de exploit también crea un iframe a un archivo PDF malicioso. El PDF aprovecha cuatro vulnerabilidades. El PDF ofuscado utiliza JavaScript para explotar las vulnerabilidades. Dependiendo de la versión de Adobe Reader, se ejecutan los siguientes exploits:

Adobe Reader Collab GetIcon CVE-2009-0927

Adobe Reader util.printf CVE-2008-2992

Adobe Reader newPlayer CVE-2009-4324

Adobe Reader CollectEmailInfo CVE-2007-5659

¿Qué aprendemos de esta campaña de spam sobre Japón? Muchas personas todavía no actualizan sus sistemas, en especial sus aplicaciones externas. La vulnerabilidad más reciente que se explotó en los paquetes es de junio 2010, y la más antigua de 2004.
Repetiré mis recomendaciones de la entrada anterior para enfatizarlas:
Experiencias pasadas nos dicen que los cibercriminales siempre están buscando formas de ganar dinero con los desastres naturales o las noticias importantes en general. Si quieres recibir las últimas noticias sobre estos acontecimientos, recomendamos que las busques en sitios web legítimos y nunca sigas enlaces que recibas por correo o redes sociales.
También es muy importante que mantengas tu sistema actualizado, tanto el sistema operativo como las aplicaciones externas como Java, lectores de PDF, navegadores, etc.
Por último, siempre mantén tus soluciones de seguridad actualizadas.

El spam sobre el terremoto en Japón propaga malware, parte III

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada