Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Nueva campaña hindú de malware espía ataca a Pakistán
En los últimos meses, una nueva campaña de malware golpeó fuertemente a Pakistán. Después de una pequeña investigación electrónica, parece que los ataques no tan cautelosos provienen de un lugar cercano a la India y, para ejecutar sus binarios, éstos explotan un certificado.
La firma de seguridad Eset tiene un resumen completo de la campaña en su blog WeliveSecurity.com (el extracto fue realizado por el investigador de malware Jean-Ian Boutin), que incluye una serie de detalles relacionados con la forma en que se ejecuta el ataque y los tipos de payloads distribuidos en las computadoras paquistaníes.
Esta campaña se basa en la explotación de un falso certificado digital firmado por la compañía hindú Technical and Commercial Consulting Pvt. Ltd. Emitido inicialmente en 2011 y revocado por los archivos usados después de marzo de 2012, aunque, hasta septiembre de ese año, aún se utilizó para firmar más de 70 diferentes archivos binarios maliciosos.
El malware usa dos vectores, el primero es una vulnerabilidad conocida de los archivos de Word (CVE-2012-0158), la cual se ha utilizado en todo desde la campaña Octubre Rojo que realizó un grupo de ataques contra usuarios tibetanos y uigures en los últimos tiempos. El otro vector propaga archivos Word y PDF que, una vez abiertos, descargan y ejecutan binarios maliciosos. “Algunos de esos archivos se disfrazan como “pakistandefencetoindiantopmiltrysecreat.exe” y “pakterrisiomforindian.exe”, de acuerdo con el post.
Los payloads están configurados para recabar datos de los usuarios (capturas de pantalla, pulsaciones del teclado, documentos de la papelera de reciclaje) y, una vez obtenidos, los envían a los servidores de los atacantes. Curiosamente, como señala Boutin, la información es enviada a los atacantes sin cifrar, por lo que es fácil ver exactamente qué es lo que se transfiere.
Un gráfico adjunto en la entrada del blog señala que mientras otros países son afectados por la campaña, ésta afecta mayormente a Pakistán con el 79% de los objetivos.
El mes pasado un tipo similar de malware, Redpill, fue detectado al secuestrar cuentas de usuario en India. Esa campaña también roba capturas de pantalla, además de credenciales de cuentas bancarias e información de correo electrónico. Fue el segundo regreso de un malware que hizo su primera aparición en 2008.
El día de mañana, la investigación completa de Boutin acerca del malware que ataca a Pakistán, se presentará en el Caro Workshop, una conferencia de seguridad en Bratislava, Eslovaquia.
