En nuestro laboratorio realizamos habitualmente análisis forenses a máquinas infectadas con troyanos bancarios. Así podemos detectar el binario, aislarlo y estudiar su comportamiento. De esta manera comprobamos cómo y con qué se infecta la gente ahí fuera, en el mundo real donde el malware limpia las cuentas bancarias de los usuarios (una media de 3.000 euros por robo). Entre otros descubrimientos, en los últimos meses, hemos comprobado que en el 100% de los análisis realizados (y no han sido pocos) la razón de la infección con troyanos bancarios era una máquina virtual Java desactualizada. En concreto dos vulnerabilidades (aunque también otras más antiguas):
- El fallo CVE-2012-0507, corregido el 14 de febrero por Oracle, permite la ejecución de código. Desde entonces, se ha usado para el malware de la policía, los últimos Zbot,SpyEye... y para la botnet de Mac OS X recientemente destapada. Desde el 25 de marzo además, la vulnerabilidad se incorporó a varios kits de explotación usados por atacantes, como Blackhole, de los más completos y sofisticados actualmente. Contra esta vulnerabilidad además, no son efectivos ASLR, DEP o incluso otras técnicas anti-ROP (para evitar que los atacantes eludan esas medidas en sus exploits).
- CVE-2012-1723. La sucesora de la anterior. Solucionada el 12 de junio por Oracle. Más compleja de ofuscar por los atacantes y diferente, puesto que se trata de un problema en la implementación de la propia JRE.
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!