nuevo exploit kit: Whitehole (formas de actuar y similitudes con otras amenazas)

En nuestras predicciones sobre amenazas para 2013, Raimund Genes ( director de tecnología de Trend Micro), predijo que veríamos nuevas toolkits durante este año.  En un reciente post llamado “El Malware NO necesita café”, un nuevo y emergente kit de exploit llamado Whitehole Exploit Kit fue tratado. El nombre “Whitehole”  fue seleccionado aleatoriamente para diferenciarlo del Blackhole Exploit Kit. Mientras que usa el mismo código que Blackhole Exploit Kit, Blackhole, utiliza, además, JavaScript para esconder su uso de plugindetect.js; mientras que Whitehole no lo utiliza.

Analizamos los ejemplos relacionados, incluyendo malware de exploits citados en algunos reportes. El malware (detectado como  JAVA_EXPLOYT.NTW) se intent aprovechar de las siguientes vulnerabilidades para descargarse ficheros maliciosos dentro del sistema:

La vulnerabilidad is CVE-2013-0422, que también repercutió en el reciente incidente zero-day  de distribución de variantes de REVETON y que fue utilizado en toolkits como Blackhole Exploit Kits y en el Exploit Kit Cool. Debido a la seria implicación con la seguridad, Oracle, inmediatamente solventó el problema y creó una actualización de software que fue recibida con escepticismo.

Los ficheros descargados son detectados como BKDR_ZACCESS.NTW y TROJ_RANSOM.NTW respectivamente Las variantes. ZACCESS/SIRIFEF son conocidas como malware bootkit que descarga otro malware y fuerza aplicaciones fake. Esta variante de ZACCESS concreta se conecta a ciertos sitios web y envía y recibe información así como termina también ciertos procesos. También se descarga ficheros maliciosos adicionales en sistemas ya infectados.

Por otra parte, ransomware normalmente bloquea los sistemas hasta que los usuarios pagan una cantidad específica de dinero a través de sistntos mecanismos de pago. David Sancho (investigador de amenazas avanzadas) escribió un reportaje detallado acerca de c ómo este malware está tomando el primer puesto con este papel. Leed Police Ransomware Update..

Whitehole Exploit Kit está supuestamente bajo desarrollo y se ejecuta en modo “test release”. Sin embargo, la gente que está detrás de este kit está ya vendiéndolo e incluso pidiendo una cuota que oscila entre los 200 y 1800 dólares. Otras notables características de este nuevo toolkit, incluyen su habilidad para evadir las detecciones antimalware, prevenir que Google Safe Browsing lo bloquee y cargar un máximo de 20 ficheros a la vez.

Dado el actual estado de Whitehole, seguiremos viendo más cambios notables en los exploits en los meses venideros. Nosotros estaremos continuamente monitorizando esta amenazas por si hubiera nuevos desarrollos.

Trend Micro protege a sus usuarios de esta amenaza gracias a Smart Protection Network™, que le permite detectar ficheros Java así como bloquear URLs que esté n rateadas. Trend Micro Deep Security Deep Packet Inspection, (a través de la regal 1004711 – Identified Malicious Java JAR Files también protege los sistemas de las vulnerabilidades relacionadas con la explotación de las mismas por el incidente. Para usuarios doméstidos, Trend Micro Internet. Security también evita que sistemas se puedanver afectadas/comprometidas por las vulnerabilidades relacionadas con este incidente  Titanium Internet Security proporciona protección de estos ataques utilizando las vulnerabilidades citadas aquí.

Los usuarios han sido avisados de siempre mantener actualizados sus sistemas con las últimas versiones de software proporcionadas por fabricantes para evitar el abrir emails con aspecto sospechoso como este.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.