Investigadores de la empresa Invincea han estado rastreando una campaña Ransomware en Rusia, que ha comenzado a utilizar vulnerabilidades 0-Day en Abobe Flash Player y se ha denominado Fessleak.
En víspera de año nuevo, los investigadores habían visto que el Ransomware Kovter era instalado por distintos exploit kit en campañas publicitarias en distintos sitios web. Más tarde descubrieron que los criminales rusos estaban utilizando una red publicitaria para descargar Ransomware a las víctimas.
Inicialmente, la red se aprovechó de las noticias de la tragedia de Charlie Hedbo y todos los visitantes de la página web The Huffington Post, así como RussiaToday y Dailymotion fueron afectados por esta campaña.
Cuando se descubrieron las vulnerabilidades de Flash Player, los criminales actualizaron su campaña para aprovechar los exploits disponibles y descargar el Ransomware al sistema.
Invincea destacó el proceso de la campaña en cinco pasos:
El impulso mostrado por los criminales hace que en este caso sea muy difícil detectar y bloquear tales ataque.
"Es importante hacer notar que los sitios utilizados en la campaña no saben que están siendo utilizados para la entrega de malware y en gran parte son incapaces de hacer algo al respecto", dijo Invincea en unpost sobre el tema.
Desde diciembre de 2014, esta lista muestra algunos de los dominios que se han utilizado para difundir el Ransomware:
La recomendación sigue siendo desactivar Flash Player en todos los navegadores.
Fuente: CSO Online
Inicialmente, la red se aprovechó de las noticias de la tragedia de Charlie Hedbo y todos los visitantes de la página web The Huffington Post, así como RussiaToday y Dailymotion fueron afectados por esta campaña.
Invincea destacó el proceso de la campaña en cinco pasos:
- Registro de un nuevo dominio (registro de DNS); después de 8 hs el dominio es abandonado y el proceso comienza de nuevo;
- el dominio se apunta a una página donde se encuentra el exploit y el payload;
- se manipula una campaña publicitaria (ads) para apuntar al dominio registrado;
- los usuarios que ingresan al sitio donde se encuentra la campaña publicitaria (ads), son redirigidos;
- luego de 8 hs el proceso se reinicia.
"Es importante hacer notar que los sitios utilizados en la campaña no saben que están siendo utilizados para la entrega de malware y en gran parte son incapaces de hacer algo al respecto", dijo Invincea en unpost sobre el tema.
Desde diciembre de 2014, esta lista muestra algunos de los dominios que se han utilizado para difundir el Ransomware:
- Liucianne.com
- HuffingtonPost.com
- Photobucket.com
- DNSrsearch.com
- RT.com
- Answers.com
- CBSSports.com
- HowtoGeek.com
- Fark.com
- Inquisitr.com
- Viewmixed.com
- Thesaurus.com
- Dictionary.Reference.com
- TecheBlog.com
- Cleveland.com
- NJ.com
- JPost.com
- Earthlink.net
- Rebelión
- PJMedia.com
- News.com.au
- Realtor.com
- Cinemablend.com
- PopularMechanics.com
- Mapquest.com
- TheBlaze.com
- Dailymotion.com
La recomendación sigue siendo desactivar Flash Player en todos los navegadores.
Fuente: CSO Online
______________________________________________________________________
Tomado de: http://seguinfo.blogspot.com/2015/02/exploits-de-flash-player-aprovechados.html#exploits-de-flash-player-aprovechados
Se respetan derechos de autor.
Todo lo expresado en este artículo (y sus enlaces) es responsabilidad de su(s) autor(es).
Se respetan derechos de autor.
Todo lo expresado en este artículo (y sus enlaces) es responsabilidad de su(s) autor(es).