News

Prosigue nuestro análisis de infecciones masivas – Millones de sitios web infectados

Durante los dos últimos años, junto con Yuri Namestnikov he estado investigando las extremadamente elevadas cifras de sitios web infectados. Todo comenzó cuando revisaba unas estadísticas locales de Suecia y noté un aumento del 3700% en un desviador de JavaScript, así como nuevas detecciones de nuevas variantes de exploits para Java, PDF y Flash. En este artículo publicado recientemente, advierto que Suecia está bajo un ataque informático:

http://www.viruslist.com/sp/weblog?weblogid=208188519

Pero después de profundizar en mi investigación, he observado que no sólo Suecia era víctima del ataque, sino que se trataba de una epidemia de proporciones mundiales. También he observado que estamos hablando de dos diferentes desviadores: b>Trojan.JS.Redirector.ro y Trojan.JS.Pakes.cp. A continuación ofrecemos ejemplos de otros países expuestos a los desviadores de JavaScript.
Hay que aclarar que no se trata de una lista estadística COMPLETA.

EL ESQUEMA
Entonces, ¿qué está sucediendo? La banda que está detrás de todo esto está vulnerando algunas aplicaciones web e inyectando códigos HTML que descargan un desviador JavaScript. Todavía no está claro de qué vulnerabilidades se trata, pero millones de sitios web han sido el blanco de este ataque. Lo que sabemos es que el código se inyecta a través de una inyección SQL, pero todavía no hemos descubierto si la vulnerabilidad se debe a servidores mal configurados o a una vulnerabilidad tipo día-cero. El JavaScript que el código HTML inyectado descarga luce así:

En el siguiente paso, se desvía a las víctimas hacia un servidor que valida el origen (país) de la víctima. Dependiendo de la localización, se ejecutará una carga maliciosa. En un ejemplo que analizamos, se desvía a los usuarios a un sitio malicioso que aparece como un video de YouTube cuyo objetivo es inducir al usuario a que descargue una actualización de Flash Player, que en realidad es un programa malicioso.
La configuración técnica es casi idéntica a la de Lizamoon, cuyo caso analizamos hace unos meses. Algunos nombres de archivos, algunas técnicas y también la configuración del servidor son idénticos.

ANÁLISIS DE PROGRAMAS MALICIOSOS (¡en proceso!)
Si la víctima descarga y ejecuta la falsa actualización de FlashPlayer, ésta se conectará con los siguientes servidores:

  • 209.212.147.141/chrome/report.html
  • 98.142.243.64/chrome/report.html
  • 65.98.83.115/?19= (Virtual Host: update.19runs10q3.com)

Después de ejecutarse, el programa malicioso modificará el archivo hosts y “envenenará” algunos dominios. Hará que el ordenador infectado use servidores DNS maliciosos, y desviará a los usuarios hacia sitios web maliciosos. El siguiente archivo de configuración se extrajo del programa malicioso:

Después, el programa malicioso cambiará la configuración DNS modificando el archivo hosts para envenenar los siguientes hostnames:

  • 74.55.76.230 www.google-analytics.com.
  • 74.55.76.230 ad-emea.doubleclick.net.
  • 74.55.76.230 www.statcounter.com.

Asimismo, el programa malicioso descargará y ejecutará actualizaciones. Se han recogido algunas de las siguientes solicitudes:

v=spf1 a mx ip4:%d.%d.%d.%d/%d ?all
/?controller=hash
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7

/?abbr=RTK&setupType=update&uid=%d&ttl
=%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7


HTTP/1.1
/update_c1eec.exe
Host: update1.randomstring.com
User-Agent: IE7

/?abbr=RTK&setupType=update&uid=%d&ttl=
%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com

También vemos un gran crecimiento de exploits Java, PDF y Flash en el mundo real, pero todavía no estamos seguros de que este ataque sea también responsable de explotar a las víctimas expuestas a esas vulnerabilidades. Pero en todos los países mencionados en las estadísticas, estos exploits han aumentado de golpe en septiembre y octubre. En cuanto tenga más información, la publicaré.

Prosigue nuestro análisis de infecciones masivas – Millones de sitios web infectados

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada