DESDE EL BLOG DE WEBSENSE SECURITY LABS:
Recientemente publicamos un blog sobre una campaña de malvertising
que afecta a un popular sitio de noticias indonesio y que lleva al Nuclear Exploit Kit. Ahora encontramos otro sitio
comprometido que lleva también al Nuclear Exploit Kit, pero esta vez recibimos
dos cargas de malware después de que se explotara la vulnerabilidad más
reciente de Adobe Flash. Vale la pena señalar que no fue necesario interactuar con los usuarios en ningún momento, bastó con visitar el
sitio Web comprometido para que el malware se ejecutara en nuestra máquina.
Los clientes de Raytheon | Websense® están
protegidos contra esta amenaza mediante el análisis en tiempo real de ACE, el
Websense Advanced
Classification Engine.
Sitio
Web Comprometido
Al revisar los eventos de seguridad más relevantes notamos
un sitio Web llamado thisblewmymind[.]com, el cual afirma ser “un medio
viral para el cerebro”, lo que puede ser cierto ya que el sitio descarga virus
en las computadoras. De acuerdo con Google, se identifica al sitio como
probablemente comprometido:
De acuerdo con SimilarWeb este sitio es bastante
popular pues recibe casi dos millones de usuarios al mes:
Desafortunadamente para la gente que visita este sitio,
se le inyectó JavaScript ofuscado que termina llevando al Nuclear Exploit Kit y
descargando malware.
Explotación
de Flash Player
La cadena de infección que observamos provocó que
Adobe Flash Player versión 19.0.0.207 se explotara por parte de Nuclear Exploit
Kit para descargar malware. Esto significa que es probable que la explotación
sea la más reciente para Flash, aprovechando a CVE-2015-7645, que se conoció
recientemente por haberse incorporado en los kits de explotación Nuclear y
Angler. De hecho, el Nuclear Exploit Kit parece estar empaquetando dos
diferentes explotaciones de Flash Player dentro de un archivo SWF (VirusTotal), y elegir dinámicamente cuál cargar, de acuerdo con la versión de
Flash Player. Si se detecta la versión 18.0.0.203 o anterior, se utiliza una
explotación para aprovechar CVE-2015-5122. De otra manera se elige la nueva
explotación:
Logramos deshacer con éxito la nueva explotación SWF y
descubrimos que había estado en VirusTotal desde el 31 de octubre.
Cargas de Malware
No es normal ver que un kit de
explotación baje más de una carga, pero en este caso Gamarue y CryptoWall 3.0
se descargaron y se ejecutaron a través de la explotación de Flash Player.
Gamarue es un malware modular
basado en plug-ins que pertenece al botnet Andrómeda. Su intención principal es
robar credenciales. CryptoWall 3.0 es un crypto ransomware que cifra sus archivos
y exige el pago en BitCoin para decodificarlos:
Indicadores de Compromiso
A
continuación mostramos algunos indicadores de compromiso de la amenaza descrita
en este blog:
hxxp://thisblewmymind[.]com – Sitio Web Comprometido
hxxp://cdn[.]goroda235[.]pw/ - Redireccionamiento
malicioso
hxxp://zadnicaberezu[.]tk/ - Nuclear Exploit Kit
2ed1953d2b182a0319041e73f6489d4151475dff
- Nuclear
EK SWF
36356533f44d6107d49662c78a56149e2f359fcc
- Nuclear
EK SWF (Deshecho)
3d5682ac799cace0325ca5437445fd3c163ee4ff – Gamarue
9d3cc04dc97d0791565cf69778ee864f8af5d7f7 - CryptoWall 3.0
Resumen
Los operadores de Nuclear Exploit Kit parecen estar
buscando maximizar sus ganancias al descargar múltiples piezas de malware en
las máquinas, capitalizando la nueva explotación de Adobe Flash Player y
comprometiendo a sitios populares con el fin de infectar a tantos usuarios como
sea posible. Como siempre, es importante asegurarse de que su software esté
actualizado, especialmente su navegador y los plug-ins asociados con Adobe
Flash Player.
No hay comentarios:
Publicar un comentario