News

Suecia bajo ataque: ¡masiva infección y nuevos exploits!

Las amenazas que circulan en Internet, como los vínculos maliciosos en las redes sociales, los sitios infectados y los avisos maliciosos son términos de los que a menudo se escribe. Nosotros, los expertos en seguridad, hemos tratado desde hace bastante tiempo de resaltar la importancia de evitar que tus sitios web y tu ordenador se infecten, ya que estos sitios maliciosos suelen explotar las vulnerabilidades del cliente. Estas vulnerabilidades han sido uno de los principales vectores de los ataques de los autores de programas maliciosos en los últimos años, pero ¿siguen siendo un problema?

Constantemente identificamos nuevas vulnerabilidades en aplicaciones y programas, y los ciberdelincuentes son muy rápidos en desarrollar exploits que luego incluyen en sus paquetes de exploits. Las vulnerabilidades en sí no son peligrosas a menos que el atacante sea capaz de explotarlas en el ordenador cautivo. Los atacantes han desarrollado estrategias para inducir a sus potenciales víctimas a visitar un determinado sitio para, por ejemplo, activar un exploit. Una de las tácticas más comunes es la ingeniería social o la infección de un sitio legítimo con códigos de desvío hacia el paquete de exploits.
El mes pasado, la mayoría de los principales fabricantes publicó actualizaciones críticas de seguridad para sus respectivos programas y aplicaciones, como Adobe, Oracle, Apple, Microsoft y Mozilla. Entonces comencé a investigar el actual escenario de amenazas y me concentré en Suecia puesto que soy investigador de seguridad informática para la región nórdica. Después de algunos minutos noté que los sitios y los usuarios suecos estaban siendo atacados.

En septiembre, verificamos un incremento del 3700% en los scripts de desvío escritos en JavaScript, específicamente Trojan.JS.Redirector.ro. Este desviador malicioso, que se encontraba en la 908? posición, trepó hasta la 15? en la clasificación de los programas maliciosos más detectados en Suecia en un mes. Este código solo desvía a los usuarios hacia otra URL, y me pareció extraño que no hayamos logrado notar un incremento en los programas maliciosos detectados en septiembre.

Lo que ahora estamos sufriendo en Suecia es una considerable infección masiva. En octubre, observé que se estaban explotando muchas vulnerabilidades de PDF. Por ejemplo, Exploit.JS.Pdfka.evi aumentó en más del 500% y Exploit.JS.Pdfka.ext lo hizo en un 188%. También constaté un considerable incremento en Iframe Clickers, y en Trojan-Clicker.HTML.Iframe.kr, este último en más del 300%. Todo esto era una indiscutible señal de que algo está sucediendo ahora en Suecia, pero aún sentía que me faltaba algo. Entonces, tras un análisis más profundo, vi que se estaban detectando hasta las nuevas versiones de exploits. Solo en octubre, hemos identificado más de siete nuevas variantes de exploits que atacan a los usuarios suecos.

Asimismo, resulta interesante constatar que las vulnerabilidades de Java son mucho más explotadas que las de PDF. Estos nuevos exploits son:

  • Exploit.Java.CVE-2010-0840.dj
  • Exploit.JS.Pdfka.ezg
  • Exploit.Java.CVE-2010-0840.dc
  • Exploit.Java.CVE-2010-0840.do
  • Exploit.Java-CVE-2010-0840.df
  • Exploit.Java-CVE-2010-0840.dn
  • Exploit.Java-CVE-2010-0840.dd

En resumen, resulta evidente que nos enfrentamos a un gran ataque contra Suecia en este momento. Por supuesto que te mantendremos informado sobre la evolución de los hechos.
Finalmente, urjo a los lectores a que no sólo recurran a Windows Update para sus actualizaciones de seguridad, sino que también actualicen sus otras aplicaciones, como Adobe, Java y clientes.

ÚLTIMAS NOTICIAS: Parece que la infección masiva sobre la cual escribí fue el “postshock” después de la mayor infección masiva de los sitios ASP.NET que describimos hace algún tiempo. El artículo completo está aquí:

aquí.

Cuando analizamos la estadística, vemos que todavía sigue creciendo el número de exploits Java y estamos tratando de establecer si hay alguna conexión con la antigua infección o si estamos ante un fenómeno nuevo.

Suecia bajo ataque: ¡masiva infección y nuevos exploits!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada