Inicio » Actualidad » Desde Websense Security Labs: La Explotación Más Reciente de Flash Player

Desde Websense Security Labs: La Explotación Más Reciente de Flash Player


Desde el blog de Websense Security Labs:
La Explotación Más Reciente de Flash Player y la Doble Carga de Nuclear Exploit Kit

Recientemente publicamos un blog sobre una campaña de malvertising que afecta a un popular sitio de noticias indonesio y que lleva al Nuclear Exploit Kit. Ahora encontramos otro sitio comprometido que lleva también al Nuclear Exploit Kit, pero esta vez recibimos dos cargas de malware después de que se explotara la vulnerabilidad más reciente de Adobe Flash. Vale la pena señalar que no fue necesario interactuar con los usuarios en ningún momento, bastó con visitar el sitio Web comprometido para que el malware se ejecutara en nuestra máquina.

Los clientes de Raytheon | Websense® están protegidos contra esta amenaza mediante el análisis en tiempo real de ACE, el Websense Advanced Classification Engine.

Sitio Web Comprometido
Al revisar los eventos de seguridad más relevantes notamos un sitio Web llamado thisblewmymind[.]com, el cual afirma ser “un medio viral para el cerebro”, lo que puede ser cierto ya que el sitio descarga virus en las computadoras. De acuerdo con Google, se identifica al sitio como probablemente comprometido:

situacionflash01De acuerdo con SimilarWeb este sitio es bastante popular pues recibe casi dos millones de usuarios al mes:

situacionflash02

Desafortunadamente para la gente que visita este sitio, se le inyectó JavaScript ofuscado que termina llevando al Nuclear Exploit Kit y descargando malware.

Explotación de Flash Player
La cadena de infección que observamos provocó que Adobe Flash Player versión 19.0.0.207 se explotara por parte de Nuclear Exploit Kit para descargar malware. Esto significa que es probable que la explotación sea la más reciente para Flash, aprovechando a CVE-2015-7645, que se conoció recientemente por haberse incorporado en los kits de explotación Nuclear y Angler. De hecho, el Nuclear Exploit Kit parece estar empaquetando dos diferentes explotaciones de Flash Player dentro de un archivo SWF (VirusTotal), y elegir dinámicamente cuál cargar, de acuerdo con la versión de Flash Player. Si se detecta la versión 18.0.0.203 o anterior, se utiliza una explotación para aprovechar CVE-2015-5122. De otra manera se elige la nueva explotación:

situacionflash03

Logramos deshacer con éxito la nueva explotación SWF y descubrimos que había estado en VirusTotal desde el 31 de octubre.

Cargas de Malware
No es normal ver que un kit de explotación baje más de una carga, pero en este caso Gamarue y CryptoWall 3.0 se descargaron y se ejecutaron a través de la explotación de Flash Player.

situacionflash04Gamarue es un malware modular basado en plug-ins que pertenece al botnet Andrómeda. Su intención principal es robar credenciales. CryptoWall 3.0 es un crypto ransomware que cifra sus archivos y exige el pago en BitCoin para decodificarlos:

situacionflash05

Indicadores de Compromiso
A continuación mostramos algunos indicadores de compromiso de la amenaza descrita en este blog:

hxxp://thisblewmymind[.]com – Sitio Web Comprometido
hxxp://cdn[.]goroda235[.]pw/ – Redireccionamiento malicioso
hxxp://zadnicaberezu[.]tk/ – Nuclear Exploit Kit
2ed1953d2b182a0319041e73f6489d4151475dff – Nuclear EK SWF
36356533f44d6107d49662c78a56149e2f359fcc – Nuclear EK SWF (Deshecho)

3d5682ac799cace0325ca5437445fd3c163ee4ff – Gamarue

9d3cc04dc97d0791565cf69778ee864f8af5d7f7 – CryptoWall 3.0

Resumen
Los operadores de Nuclear Exploit Kit parecen estar buscando maximizar sus ganancias al descargar múltiples piezas de malware en las máquinas, capitalizando la nueva explotación de Adobe Flash Player y comprometiendo a sitios populares con el fin de infectar a tantos usuarios como sea posible. Como siempre, es importante asegurarse de que su software esté actualizado, especialmente su navegador y los plug-ins asociados con Adobe Flash Player.

Sobre Raytheon|Websense

El 29 de mayo de 2015 Raytheon Company (NYSE: RTN) y Vista Equity Partners completaron una transacción de joint venture creando una nueva empresa que combina Websense, una entidad del portafolio de Vista Equity y Raytheon Cyber Products, una línea de productos de inteligencia, información y servicios de negocios de Raytheon. La compañía de seguridad cibernética comercial recién formada será conocida en forma provisional como Raytheon | Websense. La compañía espera presentar una nueva identidad de marca al completar la actividad estándar de integración organizacional.
Conozca más acerca de Websense y síganos en Twitter en: twitter.com/WebsenseLatam y twitter.com/websense.

Fernando Gutiérrez

IMS Colombia
Av. Carrera 19 # 114-09 of 404
Interamerican Marketing Solutions
t. . 571- 7449985 cel. 3124588440
www.imsmarketing.com

Anuncios

¿Cuál es su comentario de este artículo?

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s