Agujero de Seguridad en RSA explotado para propagar troyanos

Una nueva campaña de distribución de Zbot está produciendo correos electrónicos falsos que aparentan ser notificaciones acerca de una vulnerabilidad en los tokens SecurID de RSA y direccionan a los destinatarios al código malicioso.

De acuerdo con investigadores de la firma de seguridad en correos electrónicos AppRiver, quienes advirtieron de los correos, éstos se han ido propagando como una actualización de seguridad para el producto SecureID.

“Queridos usuarios, una vulnerabilidad insegura ha sido descubierta en ciertos tipos de nuestros dispositivos de token. Por favor, revise que su dispositivo de token sea seguro, revisando el siguiente enlace. Si tu token es mencionado como inseguro, por favor, descarga e instala la actualización de seguridad, disponible aquí [enlace]. Ésta podrá eliminar la posibilidad de un mal uso”, se puede leer en el correo.

En un intento para parecer más creíble, el mensaje también incluye los sellos de la Agencia Nacional de Seguridad (NSA) y del Servicio Central de Seguridad (CSS), sin embargo, la mala ortografía debería alejar a los lectores lo suficiente.

Está claro que las personas detrás de esta campaña están intentando explotar el interés del público en los huecos de seguridad de RSA, los cuales son resultado del robo de información relacionada con SecureID.

Los tokens de autenticación de RSA son usados por los trabajadores en miles de agencias de gobierno, contratistas, empresas y organizaciones en todo el mundo.

El fabricante inicialmente afirmó que la información no tenía ningún riesgo serio, pero después de que diversas empresas contratistas del ejército de EU sufrieron ataques que involucraban tokens clonados, RSA aceptó reemplazar todos los dispositivos.

El enlace incluído en los correos falsos dirigía a una versión del trojano Zbot, diseñado como una plataforma de desarrollo para otros códigos maliciosos. El troyano intenta conectarse a 15 nombres de dominio aleatorios con las extensiones .info, .biz, .org y .net en la búsqueda de comandos por sus creadores.

“Aunque no creo que la mayoría de las personas caigan en esto, existe también una gran cantidad que lo harán, algunos de ellos lo relacionarán con los ataques a RSA. Esta conexión podrá dar a los mensajes el aire de legitimidad que necesitan para ser abiertos y hacer clic a través de ellos”, señala Troy Gill, investigador de seguridad en AppRiver.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies