Nuevos ataques con malware y Blackhole Toolkit

Desde el día de ayer hemos recibido varias denuncias de correos que dicen venir de diversas empresas y que contienen supuestas transacciones comerciales de quien recibe el correo:

Ante la curiosidad de qué es lo que representan dichas transacciones, el usuario puede intentar abrir los enlaces que aparecen en el formulario y resultar infectado. Al hacer clic sobre el enlace acortado que se ve en la imagen, varios antivirus detectan que el sitio al cual se ingresa contiene scripts dañinos que en este caso se trata del Blackhole Toolkit, un conjunto de exploits que tienen como objetivo detectar las vulnerabilidades que el usuario tiene en su sistema y posteriormente descargar un archivo ejecutable y ejecutarlo en forma silenciosa.

Según Symantec son reportados más de 100.000 sitios maliciosos con este script cada día. Algunos de las vulnerabilidades y exploits son los siguientes:

• CVE-2010-1885: Help Center URL Validation Vulnerability
• CVE-2006-0003: Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability 
• CVE-2009-1671: Sun Java Runtime Environment ActiveX Control Remote Buffer Overflow Vulnerability
• CVE-2008-2992: Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability
  CVE-2009-0927: Adobe Reader Collab 'getIcon()' JavaScript Method Remote Code Execution Vulnerability
  CVE-2009-4324: Adobe Reader  'newplayer()' JavaScript Method Remote Code Execution Vulnerability

Si el usuario dispone de esas aplicaciones y las mismas son vulnerables, seguramente resultará infectado, por lo que es fundamental actualizar todo el software que se utiliza.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín