Las infecciones a través de anuncios en páginas legítimas no son ninguna novedad. Desde hace años estas técnicas se han venido usando con más o menos regularidad. La última víctima ha sido una aplicación, Spotify, que durante un tiempo, ha mostrado a sus usuarios anuncios que intentaban infectar al usuario. Desde el punto de vista del atacante, esto cambia el modelo de infección y lo hace mucho más efectivo.
El programa Spotify ha sido la última "víctima". Los usuarios que utilizan el servicio gratuito reciben publicidad incrustada en el programa. Por lo que parece, alguno de estos servidores ha sido comprometido y los atacantes han modificado el anuncio para que intente explotar una vulnerabilidad en Java o en PDF. Si el usuario era vulnerable, se descargaba un ejecutable en el sistema y quedaba infectado.
Según la noticia original, AVG denomina al malware "Trojan horse Generic_r.FZ". Esto en realidad no aporta demasiada información. Realizando una consulta a la base de datos de VirusTotal, se encontró que el nombre en sí es utilizado para una amplia gama de malware. A esas muestras otros la llaman Zbot, o FakeAV, o Papras... como es habitual, no existe ningún tipo de consenso ni patrón en la nomenclatura de las firmas. Además, no sabemos si se detecta de esta forma el exploit o el binario descargado una vez que tiene éxito el exploit. Incluso en este segundo caso, el binario descargado podría ser modificado en cualquier momento.
Por lo que se deduce de la captura de pantalla que muestra NetCraft en la noticia original, podemos observar que el binario se descarga en la carpeta C:\users\... Esto significa que se almacena en el "home" del usuario Windows. Si suponemos que hablamos del binario descargado y no del exploit en sí hoy en día es una práctica habitual de los troyanos más "modernos". Si bien antes no les importaba dónde descargarse, puesto que daban por hecho que tendrían permisos de escritura en cualquier punto del sistema de archivos, últimamente los más avanzados buscan descargarse en la carpeta "Users". Esto es así porque que Windows Vista y 7 impiden por defecto escribir en otras zonas. Este es un comportamiento típico de las últimas versiones de Zbot. Las primeras se alojaban en c:\windows\system32, punto del sistema donde los usuarios por defecto de Vista y 7 deben ya dar permiso explícito para escribir.
Spotify optó por deshabilitar estos anuncios para iniciar una investigación y encontrar qué anuncio exactamente fue el que intentaba aprovechar la falla.
El hecho de que la amenaza venga en un formato u otro es irrelevante en este caso, la única forma de protegerse es la de siempre: mantener el sistema actualizado y no usar cuentas con privilegios. Al haber utilizado una vulnerabilidad conocida en Java, el mantenerse actualizado protege al usuario. Si el atacante hubiese usado una falla desconocida o no parcheada hasta el momento, estar actualizado no impediría la infección, por tanto es necesario al menos proteger al sistema no dando demasiados permisos a este tipo de programas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4539
El programa Spotify ha sido la última "víctima". Los usuarios que utilizan el servicio gratuito reciben publicidad incrustada en el programa. Por lo que parece, alguno de estos servidores ha sido comprometido y los atacantes han modificado el anuncio para que intente explotar una vulnerabilidad en Java o en PDF. Si el usuario era vulnerable, se descargaba un ejecutable en el sistema y quedaba infectado.
Según la noticia original, AVG denomina al malware "Trojan horse Generic_r.FZ". Esto en realidad no aporta demasiada información. Realizando una consulta a la base de datos de VirusTotal, se encontró que el nombre en sí es utilizado para una amplia gama de malware. A esas muestras otros la llaman Zbot, o FakeAV, o Papras... como es habitual, no existe ningún tipo de consenso ni patrón en la nomenclatura de las firmas. Además, no sabemos si se detecta de esta forma el exploit o el binario descargado una vez que tiene éxito el exploit. Incluso en este segundo caso, el binario descargado podría ser modificado en cualquier momento.
Por lo que se deduce de la captura de pantalla que muestra NetCraft en la noticia original, podemos observar que el binario se descarga en la carpeta C:\users\... Esto significa que se almacena en el "home" del usuario Windows. Si suponemos que hablamos del binario descargado y no del exploit en sí hoy en día es una práctica habitual de los troyanos más "modernos". Si bien antes no les importaba dónde descargarse, puesto que daban por hecho que tendrían permisos de escritura en cualquier punto del sistema de archivos, últimamente los más avanzados buscan descargarse en la carpeta "Users". Esto es así porque que Windows Vista y 7 impiden por defecto escribir en otras zonas. Este es un comportamiento típico de las últimas versiones de Zbot. Las primeras se alojaban en c:\windows\system32, punto del sistema donde los usuarios por defecto de Vista y 7 deben ya dar permiso explícito para escribir.
Spotify optó por deshabilitar estos anuncios para iniciar una investigación y encontrar qué anuncio exactamente fue el que intentaba aprovechar la falla.
El hecho de que la amenaza venga en un formato u otro es irrelevante en este caso, la única forma de protegerse es la de siempre: mantener el sistema actualizado y no usar cuentas con privilegios. Al haber utilizado una vulnerabilidad conocida en Java, el mantenerse actualizado protege al usuario. Si el atacante hubiese usado una falla desconocida o no parcheada hasta el momento, estar actualizado no impediría la infección, por tanto es necesario al menos proteger al sistema no dando demasiados permisos a este tipo de programas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4539
No hay comentarios:
Publicar un comentario