News

Infectados los servidores de Valuehost

Ayer, uno de los usuarios de Kaspersky Antivirus nos envió una notificación sobre el extraño comportamiento de su navegador al visualizar el sitio www.5757.ru: se abría una segunda página y el antivirus para web mostraba una alerta sobre la descarga de un programa troyano. El usuario había entrado a este sitio después de ver un anuncio publicitario por televisión.

Durante el proceso de análisis de la página, descubrimos que el usuario casi cayó víctima de los delincuentes. En la página principal del sitio había un script de descarga de un programa troyano Trojan-Downloader.JS.Psyme.ct que a su vez trataba de descargar y ejecutar el programa Trojan-Downloader.Win32.Tiny.eo. En este momento, desde este sitio ya se está descargando otro programa troyano.

Hacemos notar, que el antivirus web (módulo de defensa constante de Kaspersky Anti-Virus 6.0, que protege los navegadores contra códigos maliciosos) rechazó el ataque de los programas troyanos indicados.
Las posteriores investigaciones mostraron que, además del sitio www.5757.ru, el ataque de los hackers afectó a por lo menos 470 servidores (según los resultados de Google al buscar un fragmento del script). Todos los servidores tenían algo en común: todos estaban hospedados en el territorio del proveedor Valuehost. La administración de Valuehost ha recibido una notificación sobre la presencia de la vulnerabilidad que permite que los servidores virtuales de sus clientes se contagien.
Valuehost es uno de los proveedores de hospedaje para sitios web más importantes de Rusia, que ofrece servicios desde el año 2000. En la red de Valuehost se hospedan más de sesenta mil sitios web rusos. La compañía tiene su propia red global de IP, construida con los ruteadores Juniper M7i y Cisco GSR 12016.

Infectados los servidores de Valuehost

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada