Noticias

Exploits para Shockwave

Exploits de Shockwave VitalyK June 19, 2008 | 18:15 GMT comment

Hemos descubierto una técnica interesante que los delincuentes utilizan para evitar que los analistas descubran códigos maliciosos.

La infección inicial era una inyección iframe común y corriente en un sitio web. El sitio del iframe cargaba un pequeñísimo archivo Shockwave que sólo pesaba 158 bytes.

El archivo usa una variable global interna ActionScript (“$version”) para obtener datos sobre la versión del sistema operativo de los usuarios y de los complementos (plugin) para manejar archivos Shockwave.

La variable $version se parece a “WIN 9,0,12,0″, que es el nombre, versión y número de revisiones de plataforma del plugin de Adobe Flash Player. Después, 4561.SWF intenta descargar y ejecutar otro archivo .SWF basado en esta serie. En el caso de arriba, trató de descargar el archivo “WIN 9,0,12,0i.swf”. El servidor respondió con el conocido ERROR 404: “No se encontró el archivo”. Pero esto fue hecho a propósito. Si el archivo 4561.swf se hubiese probado en una zona segura (sandbox), tal vez un analista no habría notado que el segundo archivo .SWF no estaba disponible; no porque el servidor no tuviera código malicioso, sino porque el complemento de Adobe Flash Player que se usó en el sandbox era diferente.

Revisé todas las versiones posibles y encontré 6 exploits .SWF diferentes.

Aquí está la lista de archivos que encontré:
WIN 9,0,115,0i.swf
WIN 9,0,16,0i.swf
WIN 9,0,28,0i.swf
WIN 9,0,45,0i.swf
WIN 9,0,47,0i.swf
WIN 9,0,64,0i.swf

Aunque ya detectábamos algunos archivos como Exploit.SWF.Downloader.c, las nuevas modificaciones todavía no estaban en nuestra colección de malware. Detectamos el primer ejemplar de Exploit.SWF.Downloader.c el 27 de mayo de 2008.

El exploit usa una vulnerabilidad de Adobe Flash Player basada en el manejo incorrecto del tamaño de la imagen. Descubrí datos adjuntos jpeg con tamaños de imagen errados.

Por lo tanto, para aclarar las cosas, quisiera recalcar que esta técnica permite descargar con cuidado exploits específicos para versiones específicas del complemento de Adobe Flash Player y, al mismo tiempo, permite esconder el código malicioso real de analistas curiosos.

Exploits para Shockwave

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada