ESET Latinoamérica – Laboratorio
« Ransomware desarrollado para Mac OS
La serie de normas ISO 27000 »

Se propaga malware a través de vulnerabilidad en Java

abril 15, 2010 10:23 am

Tal y como anunciamos hace unos días, ya se ha comenzado a propagar malware a través del exploit 0-day de Java, el cual permite ejecutar remotamente cualquier aplicación  en el sistema del usuario sin el conocimiento ni consentimiento del mismo.

Hasta el momento se ha encontrado un sitio de música (con millones de visitas diarias)  que ha sido modificado y en el cual se insertó un script que redirige al usuario a un sitio ruso (IP 79.135.152.152 activo en este momento), desde donde se descargan dos archivos de Java (gsb50.jar y common.jar), que son utilizados para descargar malware al sistema del usuario.

Al analizar dichos archivos en nuestro Laboratorio hemos podido comprobar que se hace referencia a un conocido paquete de Crimeware y Exploits llamado CrimePack:

Crimepack

Sin duda este paquete ha sido actualizado para agregar el exploit reciente de Java y, por las características propias de este paquete, el malware descargado corresponde a la familia que el motor ThreatSense de todos los productos de ESET detecta en forma proactiva como variantes del troyano de Win32/Oficla.FX. ESET además detecta los exploits JS/Exploit.JavaDepKit.A y OSX/Exploit.Smid.B por lo que cualquier sitio que los intente utilizar será bloqueado.

Es de esperar que en las próximas horas y días, la propagación se haga masiva y otros delincuentes comiencen a aprovechar la vulnerabilidad para descargar más malware. Por eso, y mientras Oracle decide actualizar Java, recomendamos aplicar los procedimientos mencionados en nuestro post anterior, mantener actualizado el antivirus o desinstalar (al menos temporalmente) el plugin de Java.

Si se desea conocer más sobre los paquetes de exploits, sus funcionalidades, los costos y la forma de prevención contra ellos recomiendo la lectura del artículo Costos del negocio delictivo encabezado por el crimeware.

Actualización 14:00hs.: Java publicó en el día de la fecha la versión Java 6 Update 20, que soluciona el fallo de seguridad explotado por estos ataques.

Actualización 14:30hs.: desde el blog de ESET en inglés, confirman que hasta hoy por la mañana, ya “hemos identificado al menos 145 puntos de distribución explotando este código, la mayoría de ellos alojados en dominios rusos“.

Cristian Borghello
Director de Educación

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Compartir en |


Categorias: Alertas, Malware
3 Comentarios »

3 Comentarios en “Se propaga malware a través de vulnerabilidad en Java”

  1. Informe de las amenazas informáticas más destacadas de abril según ESET | Blinky-IT dijo:
    4-5-2010 a las 4:49 pm

    [...] Para obtener más información sobre la vulnerabilidad crítica en Java puede ingresar a: http://blogs.eset-la.com/laboratorio/2010/04/15/propagan-malware-con-java/ [...]

  2. ESET Latinoamérica – Laboratorio » Blog Archive » Reporte de amenazas de abril dijo:
    3-5-2010 a las 10:59 am

    [...] Luego, se dio a conocer una vulnerabilidad del tipo 0-Day (cuando se hace público no existe parche de seguridad) en la plataforma Java, cuya relevancia radica en que puede ser explotada en las plataformas de la familia Microsoft (desde Windows 2000 al 7.0) y en las distribuciones GNU/Linux que tengan el plugin de Java implementado. Una de las particularidades que presentan la mayoría de las vulnerabilidades 0-Day radica en que son susceptibles a ser empleados para la propagación de gusanos, debido a su condición de wormeable vulnerability (vulnerabilidad utilizada por gusanos), lo cual se concretó con esta amenaza. [...]

  3. Vuonerabilidad de Java es usada para propagar Malware dijo:
    15-4-2010 a las 6:25 pm

    [...] información en blog eset Tags: crimeware, ESET, java, Linux, Scripts, seguridad, virus, [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.