En los últimos días hemos detectado una nueva inyección de código en sitios web, que realiza un ataque multi-stage. La siguiente imagen muestra el script que es inyectado en los sitios afectados:

Como se puede observar, el script apunta a un contenido del tipo HTML. El mismo, en primer término descarga un archivo (logo.png) que es detectado por ESET NOD32 como Win32/TrojanDownloader.VB.ODM. Lo curioso de este ataque es que, además, posee otro script que está preparado para ejecutar un exploit, tanto para Internet Explorer (ie.html) como para Firefox (ff.html):

Ambos archivos poseen las mismas acciones maliciosas, aunque preparadas para ejecutarse en uno u otro navegador. Las mismas consisten en un nuevo script que genera en tiempo real un archivo ejecutable (ver imagen posterior) y, en segundo término, intenta descargar un archivo desde http://[ELIMINADO].6600.org/hf/x/fla.exe. El mismo es detectado por ESET NOD32 como Win32/TrojanDropper.Agent.OGN.

Este ataque demuestra que los dos navegadores más utilizados por los usuarios pueden ser víctimas de ataques de este tipo, y en este caso particular en un mismo ataque que puede ejecutar exploits para ambas plataformas.

Una vez más, los atacantes demuestran sus capacidades para evolucionar en ataques más efectivos y preparados para infectar a los usuarios.

Recuerden que, además de contar con soluciones antivirus con capacidades de detección proactivas para identificar el malware; mantener sus aplicaciones actualizadas (incluidos los navegadores) es una excelente medida de seguridad para evitar la ejecución de exploits.

Sebastián

Promedio: 4.78

Compartir en |

• Amenazas multi-stage
• Reporte de amenazas de septiembre
• Inyección masiva de iframes a sitios de e-commerce

Categorias: Malware
2 Comentarios »