5 feb. 2015

Exploits de Flash Player aprovechados para infectar sistemas

Investigadores de la empresa Invincea han estado rastreando una campaña Ransomware en Rusia, que ha comenzado a utilizar vulnerabilidades 0-Day en Abobe Flash Player y se ha denominado Fessleak.

En víspera de año nuevo, los investigadores habían visto que el Ransomware Kovter era instalado por distintos exploit kit en campañas publicitarias en distintos sitios web. Más tarde descubrieron que los criminales rusos estaban utilizando una red publicitaria para descargar Ransomware a las víctimas.

Inicialmente, la red se aprovechó de las noticias de la tragedia de Charlie Hedbo y todos los visitantes de la página web The Huffington Post, así como RussiaToday y Dailymotion fueron afectados por esta campaña.
Cuando se descubrieron las vulnerabilidades de Flash Player, los criminales actualizaron su campaña para aprovechar los exploits disponibles y descargar el Ransomware al sistema.

Invincea destacó el proceso de la campaña en cinco pasos:
  • Registro de un nuevo dominio (registro de DNS); después de 8 hs el dominio es abandonado y el proceso comienza de nuevo;
  • el dominio se apunta a una página donde se encuentra el exploit y el payload;
  • se manipula una campaña publicitaria (ads) para apuntar al dominio registrado;
  • los usuarios que ingresan al sitio donde se encuentra la campaña publicitaria (ads), son redirigidos;
  • luego de 8 hs el proceso se reinicia.
El impulso mostrado por los criminales hace que en este caso sea muy difícil detectar y bloquear tales ataque.
"Es importante hacer notar que los sitios utilizados en la campaña no saben que están siendo utilizados para la entrega de malware y en gran parte son incapaces de hacer algo al respecto", dijo Invincea en un post sobre el tema.

Desde diciembre de 2014, esta lista muestra algunos de los dominios que se han utilizado para difundir el Ransomware:
  • Liucianne.com
  • HuffingtonPost.com
  • Photobucket.com
  • DNSrsearch.com
  • RT.com
  • Answers.com
  • CBSSports.com
  • HowtoGeek.com
  • Fark.com
  • Inquisitr.com
  • Viewmixed.com
  • Thesaurus.com
  • Dictionary.Reference.com
  • TecheBlog.com
  • Cleveland.com
  • NJ.com
  • JPost.com
  • Earthlink.net
  • Rebelión
  • PJMedia.com
  • News.com.au
  • Realtor.com
  • Cinemablend.com
  • PopularMechanics.com
  • Mapquest.com
  • TheBlaze.com
  • Dailymotion.com 
Dailymotion también ha sido mencionado por Trend Micro pero DailyMotion ha declarado que sus usuarios no han sido afectados.

La recomendación sigue siendo desactivar Flash Player en todos los navegadores.

Fuente: CSO Online

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!