TDSS : Una nueva variante del Rootkit TDL4 añade una técnica de intrusión al estilo Stuxnet, y ataca usuarios de Windows

Los ciberdelincuentes que hay detrás del rootkit TDL4, una variante del rootkit TDSS (Alureon) que ocasionó problemas de “pantalla azul” en Microsoft Windows a principios de este año, han copiado técnicas del gusano Stuxnet, atacando una vulnerabilidad “Zero Day” en el Windows Task Scheduler.77

Los creadores del rootkit han añadido una nueva arma a su arsenal, la incorporación del ataque vía vulnerabilidad de 0-DAY que sólo se ha utilizado anteriormente por el gusano Stuxnet, según los investigadores de los Laboratorios Kaspersky.

El rootkit TDL4 puede aprovechar una falla de escalada de privilegios en el Windows Task Scheduler, que afecta a los usuarios de Windows 7 y Vista. La falla permite que el rootkit se instale en el sistema y evite las herramientas de seguridad de User Access Control de Windows, que normalmente evitaría que cargue, de acuerdo con el investigador de Kaspersky Sergey Golovanov.

“TDSS una vez más ha reafirmado su posición como uno de los programas maliciosos más complejos y peligrosos que hay,” Golovanov escribió en el blog de los Laboratorios Kaspersky Securelist.

Stuxnet, que se detectó en julio atacando una vulnerabilidad de Microsoft Windows de día cero, fue identificado atacando cuatro vulnerabilidades de día cero adicionales en Windows. El gusano busca software SCADA (Supervisory Control and Data Acquisition) de Siemens y luego se inyecta en controladores lógicos programables que controlan la presión, temperatura y otros controles. Los expertos en seguridad advirtieron que podría ser utilizado como modelo para los desarrolladores de malware en el futuro.

Las versiones anteriores de TDL4 están bloqueadas por la mayoría de los programas antimalware, pero Golovanov escribió que el rootkit parece estar en constante desarrollo por parte de algunos desarrolladores con talento. La última variante es capaz de penetrar en un ordenador, incluso si el antivirus está instalado y funcionando.

Hasta el momento el rootkit ha sido utilizado por los ciberdelincuentes organizados para hacer crecer sus ejercitos botnet de máquinas zombies y luego se usa para el marketing de afiliación y las campañas de envenenamiento de optimización de motor de búsqueda (SEO por sus siglas en inglés), Golovanov escribió. Al infectar una computadora, el rootkit contacta al servidor de comando y control (C & C) y recibe órdenes para instalar más malwares en el equipo.

“El hecho de que la comunicación del bot con el C & C se codifique, hace que sea mucho más difícil de analizar los paquetes de red”, escribió Golavanov. “Un componente muy potente del rootkit esconde tanto los componentes más importantes del malware y el hecho de que el computador ha sido infectado. … Los cibercriminales se benefician mediante la venta de pequeñas redes de bots y el uso de SEO blackhat”.

Fuente
Comentario:
Se trata de una primicia informativa, pero mucho nos tememos que ya esté “in de wild”

saludos

ms, 9-12-2010