Detectan ataques de malware dirigidos que explota falla del IE7
Los investigadores de TrendMicro han detectado un ataque de malware dirigido que explota la vulnerabilidad crítica MS09-002 emparchada la semana pasada que afecta al Internet Explorer 7. Al abrir un documento de Microsoft office recibido por spam, los usuarios vulnerables son redirigidos a un sitio en China que explota la falla el cual permanece aun activo.
El ataque también fue confirmado por McAfee y por el ISC, que señala que los cibercriminales parecen haber hecho ingeniería reversa en el parche de Microsoft para poder conseguir hacer la explotación de la falla.
Del post de TrendMicro:
Este backdoor luego instala un archivo .DLL que tiene las capacidades de robo de información. Envía su información robada a otra URL por el puerto 443.
La alternativa de los atacantes es o bien lanzar un ataque dirigido menos ruidoso, o intentar dirigirlo a tantos usuarios como sea posible usando como vector de ataque a sitios legítimos, una elección que depende de lo que estén queriendo lograr, y a quien estén apuntando en particular.
¿Bueno, quien está detrás de este ataque? El servicio web (9966.org) es usado como una ubicación de "devolución de la llamada" con la información robada, es un sitio conocido usado por atacantes chinos en un ataque masivo de inyección SQL, que no significa que la campaña haya sido lanzada por los atacantes chinos, ya que podrían ser atacantes internacionales de cualquier parte usando una infraestructura conocida para desviar la responsabilidad a los atacantes locales.
Además, en esta campaña en particular puedo sostener fácilmente que la ventana de oportunidad para abusar de esta vulnerabilidad en una forma dirigida, es tan amplia como para intentar explotar a los mismos equipos diversificando el uso de diferentes explotaciones. Por ejemplo, más allá de la explotación oportuna de MS09-002, basados en el número de equipos afectados globalmente por Conficker, una situación en la cual nuevamente esta presente el tema de parches, hay una gran oportunidad que algunos de los equipos que están siendo intentados explotar mediante el uso del MS09-002 ya sean parte de la red zombie de Conficker, o permanezcan aun susceptibles de vulnerabilidades anteriores.
Hasta aquí, no hay una campaña masiva aprovechando esta explotación, pero los usuarios ya están advertidos de auto-auditarse de la vulnerabilidad conocida MS09-002 en particular.
Traducido para blog Segu-info por Raúl Batista
Autor: Dancho Danchev
Fuente: ZDnet
El ataque también fue confirmado por McAfee y por el ISC, que señala que los cibercriminales parecen haber hecho ingeniería reversa en el parche de Microsoft para poder conseguir hacer la explotación de la falla.
Del post de TrendMicro:
La amenaza empieza con un archivo .DOC malicioso enviado en spam que es detectado como XML_DLOADR.A. Este archivo tiene un script de distribución muy limitado, lo que sugiere que podría tratarse de un ataque dirigido. Contiene un objeto ActiveX que accede automáticamente a un sitio plantado con un HTML malicioso detectado por la Trend Micro Smart Protection Network como HTML_DLOADER.ASHTML_DLOADER.AS explota la vulnerabilidad CVE-2009-0075, que ya fue resuelta por el parche de seguridad MS09-002 publicado la semana pasada. En un sistema no emparchado sin embargo, la explotacion exitos del HTML_DLOADER.AS descarga una puerta trasera (backdoor) detectada como BKDR_AGENT.XZMS.
Este backdoor luego instala un archivo .DLL que tiene las capacidades de robo de información. Envía su información robada a otra URL por el puerto 443.
La alternativa de los atacantes es o bien lanzar un ataque dirigido menos ruidoso, o intentar dirigirlo a tantos usuarios como sea posible usando como vector de ataque a sitios legítimos, una elección que depende de lo que estén queriendo lograr, y a quien estén apuntando en particular.
¿Bueno, quien está detrás de este ataque? El servicio web (9966.org) es usado como una ubicación de "devolución de la llamada" con la información robada, es un sitio conocido usado por atacantes chinos en un ataque masivo de inyección SQL, que no significa que la campaña haya sido lanzada por los atacantes chinos, ya que podrían ser atacantes internacionales de cualquier parte usando una infraestructura conocida para desviar la responsabilidad a los atacantes locales.
Además, en esta campaña en particular puedo sostener fácilmente que la ventana de oportunidad para abusar de esta vulnerabilidad en una forma dirigida, es tan amplia como para intentar explotar a los mismos equipos diversificando el uso de diferentes explotaciones. Por ejemplo, más allá de la explotación oportuna de MS09-002, basados en el número de equipos afectados globalmente por Conficker, una situación en la cual nuevamente esta presente el tema de parches, hay una gran oportunidad que algunos de los equipos que están siendo intentados explotar mediante el uso del MS09-002 ya sean parte de la red zombie de Conficker, o permanezcan aun susceptibles de vulnerabilidades anteriores.
Hasta aquí, no hay una campaña masiva aprovechando esta explotación, pero los usuarios ya están advertidos de auto-auditarse de la vulnerabilidad conocida MS09-002 en particular.
Traducido para blog Segu-info por Raúl Batista
Autor: Dancho Danchev
Fuente: ZDnet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!