Tres tecnologías distintas colaboran en la preparación de la perfecta bomba incendiaria para computadoras.

Los delincuentes cibernéticos procedentes de China están aprovechando la creciente tensión política por el presunto programa secreto de armas nucleares de Irán, tratando de esconder malware en los equipos, posiblemente con la esperanza de infectar al personal militar de EE.UU.

El último objetivo atacado viene en la forma de una explotación a través de un navegador, extendido a un documento de Word (. doc) incluido con correo spam. El documento en idioma Inglés – titulado “Iran’s Oil and Nuclear Situation.doc” (Irán Petróleo y Situación nuclear.doc) – apuesta por la curiosidad del usuario sobre la tensión política entre Occidente e Irán.

El documento contiene un applet de Shockwave Flash que intenta cargar un archivo de vídeo (. Mp4) de hxxp :/ / 208.1xx.23x.76/test.mp4. Este archivo MP4 no es el habitual vídeo de YouTube. Ha sido diseñado para incluir un encabezado válido por lo que legítimamente puede identificarse como MP4, pero el resto del archivo está lleno de valores 0x0C. Cuando el archivo se carga y Flash Player intenta representar el MP4, desencadena un exploit en el plug-in de Adobe Flash ( CVE-2012-0754 ), que finalmente deja caer un archivo ejecutable incrustado en el archivo .doc inicial.

La operación es encubierta: el archivo MP4 desencadenando el exploit se transmite desde la web, lo que significa que la PC será explotada en el momento, un antivirus generalmente escanea un archivo. Además, el archivo malicioso enviado dentro del archivo .doc (us.exe) tiene múltiples capas de ofuscación para evadir la detección.

Este archivo dejado caer se almacena en la carpeta temporal y se ejecuta. Se trata de un archivo de 4,63 MB que imita a la aplicación de actualización de Java y parece que procede de China. Dentro del archivo, el código malicioso de sólo 22,5 KB intenta conectarse a un servidor C & C que utiliza servicios de DNS dinámica para cambiar permanentemente su dirección IP.

Después de que infecte el ordenador, el troyano (identificado por BitDefender como Gen: Variant.Graftor.15447) empieza a escuchar los comandos de su dueño.

Esto es claramente un ataque dirigido – que pueden tener como objetivo al personal militar de EE.UU. involucrado en las operaciones militares iraníes. El malware no ha sido entregado por spam masivo y no ha aparecido en los “honeypots”, o direcciones de correo electrónico utilizadas por la industria antivirus para atraer y atrapar malware.

También proviene de China y se conecta a servidores C & C de alojamiento de muchos otros sitios web chinos. Ya hemos visto varios ataques al gobierno de los EE.UU. procedentes de China – desde la notoria operación Aurora a el masivo phishing de funcionarios de Estados Unidos y Taiwán. .

La carga también es una amenaza persistente avanzada – extremadamente difícil de detectar una vez dentro de la red. Aunque tiene un poco más de una semana de edad, el backdoor (puerta trasera) todavía tiene una detección pobre, con sólo 7 de 42 soluciones antivirus capaces de detectarlo.

La explotación de aplicaciones pueden no ser los nuevos medios de entrega de software malicioso para los usuarios finales. Pero está entre los más eficaces. La explotación del complemento (plug-in) del navegador, aunque requiere cientos de horas de investigación, se ha convertido en prueba de idiotas por la amplia disponibilidad de paquetes de exploits que pueden ser adquiridos por cualquier delincuente joven de script por el precio de subsidio de una semana.

Para proteger su PC y los datos en ella, ponga en práctica un par de medidas de seguridad. Asegúrese de instalar un antivirus y mantenerlo actualizado. Un cortafuego (firewall) también jugaría un papel importante en la lucha contra los exploits, como los cortafuegos de software pueden escanear los archivos a medida que se transmiten desde la web a la aplicación vulnerable. Además, mantener sus aplicaciones críticas actualizadas hasta la fecha mediante la instalación de los parches de seguridad tan pronto como estén disponibles.

Traducción: Velcro

Fuente: malwarecity.com

Anuncios