News

SWF, PDF… ¡Todo está en Adobe!

Hace poco, las vulnerabilidades de los productos Adobe se han convertido en una grave amenaza de seguridad, y el número de infecciones que causan superó hace mucho los de las vulnerabilidades de Windows o Internet Explorer.
La última vulnerabilidad desconocida se identificó ayer, con la aparición de archivos PDF en el mundo real con una clara conexión china, y atrajo la atención de los analistas de antivirus de inmediato.

Uno de estos archivos se llama “Cao Chang-Ching The CPP made eight mistang Urumuqi incident_mm.pdf”. Los incidentes de los últimos días en el pueblo chino de Urumqui, donde los residentes locales se enfrentaron a la policía, se dieron a conocer en las noticias de todo el mundo, así que no es ninguna sorpresa que este tema se esté utilizando para difundir programas maliciosos.
Los archivos no contenían el exploit tradicional JavaScript, que ha sido el caso con las previas vulnerabilidades PDF. Sin embargo, cuando el archivo PDF se abre, dos archivos llamados Temp.exe y suchost.exe aparecen en el sistema: está claro que aquí hay un exploit, uno que funcionará hasta en la última, completamente parchada versión de Adobe Reader.

Análisis más profundos demostraron que un objeto SWF, un clip de Flash, se había insertado en el archivo PDF. Los clips de Flash también son productos de la empresa Adobe, y se reproducen con Adobe Flash.

La vulnerabilidad que había sido identificada en realidad estaba en Adobe Flash Player versión 9 y 10, ¡no en Adobe Reader! Esto es lo que al principio confundió a los analistas que estudiaban los archivos PDF y sus formatos. La vulnerabilidad utiliza ‘heap spray’ y puede explotarse cuando se abre un archivo PDF especial o cuando se visitan sitios comprometidos.

Hay una evidencia indirecta que nos lleva a creer que esta variante del exploit fue creada a principios de julio (no estamos seguros si el 2 o el 9), y es posible que ya se haya usado en varios ataques dirigidos.

Las muestras que analizamos instalan dos programas maliciosos: Trojan.Win32.PowerPointer (modificaciones .h y .i) y Trojan-Downloader.Win32.Agent (modificaciones cjll y cjoc).

Aún antes de haber agregado estos programas a la base de datos del antivirus, nuestros clientes ya estaban protegidos por nuestra tecnología heurística, que los detectaba como HEUR:Trojan.Generic.

La detección de los archivos PDF maliciosos se agregó a nuestra base de datos del antivirus el miércoles en la noche como Exploit.SWF.Agent.br y bs.

Adobe ha confirmado la existencia de la vulnerabilidad y ha prometido lanzar un parche antes del 30 de julio.

Pero como aún falta una semana para recibir el parche, recomendamos que deshabiliten Flash en Acrobat Reader y los objetos incorporados en el navegador.

En Adobe Reader, vayan a Editar > Preferencias de Configuración > Confianza en Multimedia > Autorización para Adobe Flash Player > Escojan “Nunca” o “Notificar”

SWF, PDF… ¡Todo está en Adobe!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada