Red de información TI para profesionales ITMedia NetWork

miércoles, 24 de julio de 2019
Actualizado a las 4:11


Búsqueda avanzada

Publicidad

Publicidad

Últimas noticias

Ciberdelincuentes chinos aprovechan la tensión nuclear en Irán para lanzar ataques sobre militares de Estados Unidos

12 Marzo 2012

Bitdefender ha localizado un nuevo ataque con malware procedente de China que está aprovechando la creciente tensión política creada por el programa nuclear iraní para infectar con malware miles de equipos y, en particular, los relacionados con el personal militar de EEUU.

Este ataque dirigido comienza con el envío por correo electrónico de un documento infectado. El documento, escrito en Inglés, se titula: "Iran's Oil and Nuclear Situation.doc", es decir, “Situación nuclear y petrolífera de Irán” y busca sacar partido de la curiosidad del usuario interesado en abrirlo. 

El documento contiene un código que intenta cargar un archivo de vídeo en formato Mp4 desde una web. Este archivo MP4 no es el habitual vídeo de YouTube, sino que ha sido diseñado para incluir una cabecera válida por lo que legítimamente puede identificarse como MP4, pero el resto del archivo está lleno de código malicioso diseñado para aprovechar una vulnerabilidad en Flash (CVE-2012-0754), y permitir la ejecución de otro código malicioso incrustado en el word inicial.

La operación se lleva a cabo de manera encubierta: el archivo MP4 que permite el aprovechamiento de la vulnerabilidad se transmite desde la web, lo que dificulta su detección por las soluciones de seguridad. Además, el archivo malicioso contenido en el word (US.EXE) tiene múltiples capas de cifrado para evadir los antivirus.

El malware principal, una vez en el equipo, se almacena en la carpeta temporal y se ejecuta. Se trata de un archivo de 4,63 MB que imita la aplicación JavaUpdater y que procede de China. Dentro del archivo, el código malicioso de sólo 22,5 KB intenta conectarse a un servidor que utiliza servicios de DNS dinámico para cambiar permanentemente su dirección IP y evitar así ser localizado.

Después de que infecte el ordenador, este ejemplar de malware (identificado por BitDefender como Gen: Variant.Graftor.15447) empieza a recibir órdenes de su creador, lo que permite a éste tomar el control del ordenador infectado.

“Se trata de un ataque dirigido, que pueden tener como objetivo al personal militar norteamericano involucrado en las operaciones militares iraníes. El malware no ha sido enviado mediante una campaña de spam masiva que pudiera afectar a cualquier usuario y tampoco ha aparecido en las direcciones de correo electrónico utilizadas por los fabricantes de antivirus para atraer y atrapar el malware, sino que ha sido dirigido sólo contra unos pocos usuarios”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender.

Para proteger el PC y los datos contenidos en él, Bitdefender recomienda poner en práctica las siguientes medidas:

  • Asegúrarse de instalar un antivirus y mantenerlo actualizado
  • Contar con un firewall de garantía ya que este tipo de protección juega un papel muy importante en la lucha contra exploits, ya que los cortafuegos escanean los archivos a medida que se transmiten desde la web a la aplicación vulnerable
  • Es importante que los usuarios mantengan sus aplicaciones críticas actualizadas con las últimas versiones disponibles para evitar así vulnerabilidades en las mismas que puedan ser aprovechadas por los ciberdleincuentes.

Más información en el blog de Bitdefender: Malware City

ShareThis

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2019 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar