DESDE EL BLOG DE WEBSENSE SECURITY LABS: EL VIRUS DEL ÉBOLA SE HA EXTENDIDO AL IGUAL QUE LOS CIBERATAQUES
El virus del ébola se ha extendido en África
Occidental desde que apareció por primera vez en Guinea en Diciembre de 2013.
Su creciente tasa de infección, la alta tasa de mortalidad, el aislamiento para
los afectados y el desafío para contenerlo han encendido las alarmas en todo el
mundo.
Con este telón de fondo, Websense
Security Labs ha encontrado dos campañas maliciosas distintas que han
aprovechado el tema del ébola y seguramente éstas continuarán en el futuro.
Campaña DarkKomet
RAT/Backdoor
Iniciando
el 10 de Octubre de 2014, Websense® ThreatSeeker® Intelligence Cloud detectó
miles de email maliciosos que toman ventaja del tema del ébola. La línea de
asunto dice:
Subject: Ebola Safety Tips-By WHO
(Asunto: Consejos de Seguridad del Ébola por
la OMS)
"Sabemos que los cibercriminales se aprovechan de cualquier
oportunidad para dirigirse a sus víctimas. Al hacerse pasar por la Organización
Mundial de la Salud (OMS) –una confiable fuente global de información- y
utilizando la amenaza del virus del ébola, estos criminales están usando
tácticas de ingeniería social para obligar a las víctimas a hacer clic”,
mencionó Pavel Orozco, Gerente de Ingeniería en América Latina para Websense.
“No sólo es nefasto sino además muy eficaz. Los usuarios deben tener precaución
y las empresas soluciones de seguridad para prevenir que estos ataques tengan
éxito”.
Al comienzo de la campaña, los mensajes contenían una URL que
redireccionaba a las víctimas a un sitio de descarga de un archivo RAR
(comprimido). El archivo contenía DarkKomet
RAT/Backdoor, una herramienta de administración remota (RAT) que proporciona
acceso completo a los clientes remotos, que es utilizada por los atacantes para
controlar la computadora de la víctima y robar información. En otros
mensajes recientes, la campaña
evolucionó para incluir archivos adjuntos ejecutables y un archivo comprimido
tipo RAR que contiene el ejecutable. El ejemplo siguiente muestra una variante
del archivo adjunto RAR:
El malware de esta campaña contacta a un
servidor ubicado en Rumania: 5.254.112.46:1604. ThreatScope lo identificó
como ejemplos de malware malicioso. Aquí hay dos variantes de archivos
utilizados en la campaña:
SHA1 : e2bdede8375da63998562f55a77d4b078d3b5646
Informe de ThreatScope Analysis Report: Link
SHA1
: 91ff874eb5bde1bb6703e01d7603d3126ddd01fc
Informe de ThreatScope Analysis Report: Link
Vulnerabilidades de
Ejecución de Código Remoto Windows OLE CVE-2014-4114 & CVE-2014-6352
El 14 de octubre de 2014, iSight descubrió la
vulnerabilidad CVE-2014 a 4114 utilizada en la campaña Sandworm que tuvo como blanco a la OTAN, a la Unión Europea,
y a miembros de los sectores de Energía y Telecomunicaciones. CVE-2014-4114
puede permitir la ejecución remota de código si un usuario abre un archivo de
Microsoft Office especialmente diseñado, que contiene un objeto OLE. La
vulnerabilidad está en todas las versiones compatibles de Microsoft Windows,
excepto en Windows Server 2003.
Debido a que la vulnerabilidad no implica
corrupción de memoria que puede resultar en código shell y porque pertenece a la categoría de 'error de diseño', las
protecciones del tipo DEP y ASLR no son eficaces. El código ejemplo para los exploits CVE-2014-4114 se ha visto
publicado en la web. Potencialmente, los criminales podrían utilizar esta
vulnerabilidad para construir un archivo PowerPoint para propagar el malware.
Además, poco después de la divulgación de CVE-2014-4114, una vulnerabilidad muy
similar también atacó a objetos OLE y fue dada a conocer como CVE-2014 hasta
6.532. Mientras CVE-2014-4114 ya fue parcheada por Microsoft, aún se espera un parche para la
vulnerabilidad CVE 2014-6532.
Websense Security Labs informó que el tema del
ébola se ha utilizado en relación con CVE-2014-4114. Una muestra de una fuente de terceros, llamada
"Ébola en American.pps" estaba aprovechando CVE-2014-4114 para
descargar y ejecutar una carga desde una dirección remota a través del
protocolo SMB, que la mayoría de las veces no se le permite conectarse a
direcciones públicas de Internet:
·
\\220.135.249.228\public\install.inf
·
\\220.135.249.228\public\word.exe
Es posible detectar CVE-2014-6352 utilizando Yara. Existe una regla de Yara que puede ejecutarse
contra archivos de Microsoft Office para detectar la vulnerabilidad.
Los clientes de Websense están protegidos contra
esta amenaza con ACE (nuestro Advanced
Classification Engine) en las diferentes etapas del ataque que se detallan a continuación:
·
Etapa 2 (Lure) – ACE protege contra los
mensajes y direcciones URLs que contengan la amenaza.
·
Etapa 4 (Exploit) – ACE detecta en tiempo
real el código exploit que intente entregar la amenaza.
·
Etapa 5 (Dropper) – ACE detecta los archivos
maliciosos para despachar esta amenaza.
·
Etapa 6 (Call Home) – ACE detecta la
comunicación hacia los puntos C&C asociados con esta amenaza.
Para
obtener más información, visita el blog de Websense Security Labs en: http://community.websense.com/blogs/securitylabs/archive/2014/10/23/Ebola-Spreads-_2D00_-In-Cyber-Attacks-Too.aspx?cmpid=pr
No hay comentarios:
Publicar un comentario