Exploit nalware en correo falso sobre “Fuga de radiación nuclear en Japón y Análisis de vulnerabilidad”
Las desgracias aparentemente interminables en Japón han generado hasta ahora una gran variedad de fraudes por Internet. El más reciente de ellos se trata de una campaña de correos electrónicos spam que contienen adjuntos Excel equipados con exploits de Flash.
En el asunto del mensaje se lee: “Fuga de radiación nuclear en Japón y Análisis de vulnerabilidad”, supuestamente estos correos son enviados por la Oficina de Seguridad Nuclear y Respuesta a Incidentes de la Comisión de Regulación Nuclear de los Estados Unidos.
Mucha gente está preocupada por los posibles efectos que podrían darse en caso de que la crisis del reactor de Fukushima estallará, las repercusiones a sus vidas son el mejor señuelo para que los usuarios inexpertos de Internet caigan en estas trampas.
Un correo electrónico similar contiene un archivo de Excel (XLS), el cual tiene añadido un objeto Flash que trata de explotar una vulnerabilidad conocida. Una vez que el archivo es abierto, los usuarios pueden advertir que la hoja de cálculo está vacía.
Entonces, es demasiado tarde, el objeto Flash ya ha comenzado a ejecutarse.
Se inicia con un disparo de pila conteniendo código shell, el cual carga y después ejecuta en un segundo código Shell incrustado en el archivo de Excel. “El segundo código shell es responsable de la descripción y ejecución de un archivo EXE (el cual también viene incrustado en el XLS)”, explicaron investigadores de F-Secure.
“Mientras tanto, el objeto Flash construye y carga un segundo objeto de Flash para ejecución. Este segundo objeto es el principal exploit de este malware y explota al CVE-2011-0609 para ejecutar el código Shell en la pila”.
Se piensa que el exploit se entregó de tal manera con el fin de evitar ser descubierto. “A medida que se carga en la memoria, no hay ningún archivo físico disponible para la exploración de un motor antivirus”, señalan. El archivo EXE embebido es detectado como un troyano.
“the malicious Excel file and its embedded EXE file are detected as Exploit.D-Encrypted.Gen and Trojan.Agent.ARKJ”
La vulnerabilidad mal usada en este ataque fue reparada recientemente por Adobe, por lo que aconsejamos a los usuarios actualizar su Flash Player.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.