Vulnerabilidad Flash de día cero ya se propaga en los paquetes de exploits

Los exploits para la vulnerabilidad de día cero de Flash Player recientemente parchada se están difundiendo en los conjuntos de exploits Angler, Neutrino y Magnitude, que se usan para distribuir diferentes programas extorsionadores, bancarios y un troyano que roba los datos de cuentas.

El investigador francés conocido bajo el seudónimo de Kafeine aclaró a Threatpost que el exploit para la vulnerabilidad CVE-2016-4117 que forma parte de Neutrino es una variante completamente funcional, mientras que el incluido en Magnitude funciona solo en parte. Kafeine también confirmó que Angler usa un exploit similar y al mismo tiempo carga el troyano bancario Dridex.

Según el investigador, los exploits Magnitude están orientados a todas las versiones de Flash hasta la 21.0.0.213, pero no funcionan, a pesar de que el código vulnerable está correctamente indicado. No se puede excluir la posibilidad de que durante su implementación se haya introducido un error. El exploit del paquete Neutrino es completamente funcional, y a juzgar por los resultados de VirusTotal, es difícil de detectar.

En su comentario a Threatpost, Kafeine también remarcó que al experimentar con el nuevo paquete de exploits detectó que también contenía otro malware especializado, como CryptXXX, Cerber, DMA Locker y Gootkit. Este último se usa sobre todo para robar datos de cuentas de banca en línea, y se destaca porque se carga en la memoria operativa y no existe como archivo en el equipo infectado. Anteriormente, se usaba Angler para transportarlo: a principios de este año, investigadores de Cyphort publicaron un informe sobre una de sus cibercampañas que utilizaba banners rediretores maliciosos y Bedep como descargador.

El 12 de mayo se publicó un parche urgente para la vulnerabilidad de día cero en Flash (confusión de tipos de archivos). Esta vulnerabilidad la descubrió el día anterior un investigador de FireEye, que hizo hincapié en la presencia de los exploits itw. Estos exploits venían incrustados en documentos de Microsoft Office en el sitio de los delincuentes y que estaban disponibles mediante una redirección DNS. Para realizar la infección, los atacantes utilizaban spam URL y envíos masivos de adjuntos maliciosos.

Según los datos de FireEye, en estos ataques tempranos se usaban exploits para las versiones de Flash 21.0.0.196 y superiores. La infección transcurría en varias etapas: al procesarse el exploit se ejecutaba un código Shell que descargaba y ejecutaba otro Shell, que a su vez descargaba y ejecutaba el malware final, mientras mostraba al usuario un documento para camuflarse. Al final, en el equipo de la víctima se abría un backdoor que empezaba a recibir comandos de los atacantes.

El paquete de exploits Magnitude se usó de forma activa para propagar Cerber, un extorsionador que pedía el rescate pronunciándolo mediante un sintetizador de voz. Así, a principios de abril, investigadores de Proofpoint descubrieron que para difundir este bloqueador, Magnitude había empezado a utilizar la vulnerabilidad CVE-2016-1019 de Flash, otra brecha de día cero que Adobe también tuvo que apresurarse a parchar fuera de agenda. Como parte de Nuclear, el mismo exploit se usaba para cargar otro extorsionador, Locky.

Para terminar, merece la pena destacar que el dinamismo de Cerber aumentó mucho después de que sus propagadores obtuvieran acceso a la infraestructura de Dridex, que permite hacer envíos masivos de spam.

Fuentes: Threatpost