Llegan los primeros ataques "JPEG"

La actualidad - Mundo Digital

Tres troyanos han iniciado su expansión por internet, por suerte con efectos aún limitados, explotando la vulnerabilidad den el tratamiento de las imagenes JPG que presentan algunas de las aplicaciones más conocidas de Microsoft

Noticias relacionadas

Un troyano que explota la vulnerabilidad en la librería GDI+ usada por Microsoft para visualizar archivos JPEG, es empleado en nuevos ataques de PHISHING (técnicas utilizadas para obtener información confidencial mediante engaños para suplantar remitentes o sitios legítimos).

Sin embargo, el troyano no puede atacar a un sistema directamente a través del Internet Explorer o del Outlook, sino solamente a través del Explorador de Windows. Esto significa que el atacante debe persuadir o engañar al usuario, para que visualice la imagen como si fuera un archivo en una carpeta del sistema.

Esto limita su propagación, pero nos indica que los piratas informáticos están experimentando técnicas que les permitan sacar provecho de esta vulnerabilidad .

¿Como funciona?

Cuando el usuario visualiza la imagen JPEG (en los primeros reportes, llamada DUCKY.JPG), el exploit descarga un archivo llamado LL.EXE o Y.EXE de un sitio llamado MAYBEYES.BIZ. Dicho archivo es grabado como DIVXENCODER.EXE en el directorio de Windows (normalmente C:\WINDOWS), o en la raíz de C:, y luego ejecutado.

Cuando se ejecuta, dicho archivo inyecta un DLL en el mismo proceso del Explorador de Windows (EXPLORER.EXE).

Una variante descarga un archivo llamado T2.EXE de una determinada dirección IP.

Luego de ello, el troyano inyectado en dicho proceso, intenta contactarse a diferentes sistemas de la misma red del proveedor como MAYBEYES.BIZ, y descarga de él una plantilla en forma de archivo XML. Este archivo describe el mensaje en forma de spam que utiliza las técnicas de phishing, que será enviado desde el sistema infectado, y las direcciones electrónicas a las que dicho mensaje será remitido.

El mensaje en si mismo, simula ser enviado por el Citibank y solicita al usuario que confirme sus datos personales "antes que su cuenta bancaria sea bloqueada". El cuerpo del mensaje en si mismo no es un texto, sino una imagen con enlaces mapeados en ella.

Si el usuario hace clic en los enlaces indicados, es enviado a una página Web controlada por el atacante. La página muestra como fondo la página actual del Citibank para simular su legitimidad, y despliega sobre la misma una ventana emergente (pop-up), que lleva a enlaces que controla el atacante. Esta ventana emergente solicita la información de la cuenta bancaria de la víctima.

Podrían existir otros casos similares, utilizando otros blancos en lugar del Citibank, pero no está claro si el troyano es capaz de utilizar otros servidores cuando los anteriores son cerrados, o se requiere una compilación diferente cada vez (cuando se detectan este tipo de acciones y las mismas son denunciadas, los proveedores involucrados suelen dar de baja los sitios relacionados).

Este tipo de ataque podría ser mejorado en el futuro.

Se recomienda no aceptar enlaces en mensajes no solicitados, así como no abrir adjuntos de ninguna clase.

Los usuarios que hayan instalado el Service Pack 2 de Windows XP no son vulnerables, pero podrían serlo si visualizan una imagen infectada con alguno de los demás programas que podrían ser vulnerables.

Troyano "JPEG", Troj/Ducky

Este nuevo troyano, a pesar de su jueventud ya va por su segunda variante en poco más de una semana desde que se conoció el bug en algunas de las aplicaciones de Microsoft el pasado 14 de septiembre.

El troyano utiliza un archivo JPG de tal modo que cuando un usuario vulnerable lo visualiza, se intenta descargar y ejecutar en su máquina un archivo. La descarga es realizada desde la dirección IP 69.93.58.116.

El archivo descargado se copia en la siguiente ubicación:

c:\windows\system32\t2.exe

En las redes AOL

Finalmente otro gusano que explota esta vulnerabilidad ha sido ya detectado en las redes de mensajerí instantánea de AOL, conocida como AIM.

Expertos del SANS Institute, han dicho que se han recibido muy pocos reportes del mismo, sin embargo, es un síntoma de que los chicos malos continúan experimentando con la vulnerabilidad reportada por Microsoft el 14 de setiembre en su boletín MS04-028.

El mensaje en si, no difiere de otros intentos anteriores para engañar a los usuarios, solo que en lugar de usar código HTML, se apela al formato JPEG.

Cuando una víctima recibe ese mensaje y lo lee, es dirigido a un sitio donde se encuentra la imagen infectada.

El mensaje dice "Check out my profile, click GET INFO!" (Verifique mi perfil, haga clic para obtener información).

Cuando se visita dicho sitio, es enviado a la computadora de la víctima el código malicioso en la imagen JPEG visualizada. Una vez ejecutado, el usuario infectado envía a otros contactos del AIM, el mismo mensaje recibido anteriormente.

Fuentes: Con información procedente de Enciclopedia de virus y vsantivirus.com

Enlaces relacionados

domingo, 25 mayo 2014

Ahora puedes dar tu opinión o aportar tus propios comentarios en los FOROS DE NOTICIASDOT.COM

Busca en Internet

Noticiasdot.com Edita : Noticias Digitales SL - Editor ejecutivo y Director: Angel Cortés
Noticiasdot.com	Stilo	Cine	Viajes	Gadgetmania
Empleo	Más 18	RSS	Suscripciones
Direcciones de correo electrónico: Redacción - Información - Anunciate en Noticiasdot.com: Publicidad - ¿Quienes somos?
Con el patrocinio de FRANQUICIA LASER GAME - QUASAR ELITE Laser Gam