News

Zbot y CVE2010-0188

Hace poco encontré un archivo PDF sospechoso y decidí investigarlo más a fondo. Al descomprimirlo, encontré un archivo xml con una imagen TIFF. Pero todo todavía se veía muy extraño. Al fin descubrí que el archivo xml contenía un exploit para CVE-2010-0188.

Pensé que era un poco raro que no hayamos encontrado archivos como este antes, así que revisé las estadísticas de esta vulnerabilidad:

Estadísticas de exploits para CVE-2010-0188 en 2010

El gráfico muestra que los cibercriminales comenzaron a explotar CVE=2010-0188 con programas maliciosos a finales de julio. Hasta entonces era raro encontrar este tipo de ataques. Tal vez los escritores de virus necesitaron un par de meses para desarrollar los exploits para la nueva vulnerabilidad de Adobe.

También noté que el PDF estaba diseñado principalmente para descargar y ejecutar otro archivo, Trojan-Dropper.Win32.Zbot.cm. Este troyano está diseñado para combatir los programas antivirus e instalar Zbot (Zeus) en el sistema infectado.

Aunque conseguí un ejemplar de Zbot, estaba codificado y ofuscado. Después noté que las secuencias decodificadas incluían un enlace muy claro al sitio bancario que se iba a atacar, las solicitudes de http del bot y algunos de los comandos que usa la red zombi.

Parte del archivo Zbot decodificado

Este es el primer ejemplo de una variante de Zbot codificada que se propaga por CVE-2010-0188. Sin duda los delincuentes que operan este programa no están cruzados de brazos y ya están trabajando duro para desarrollar un nuevo método para propagar el malware de forma más eficiente.

Zbot y CVE2010-0188

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada