Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Resurge la botnet Cutwail para enviar malware en HTML adjunto
Investigadores de seguridad de M86Security informan que el aumento de campañas de malware que usan archivos adjuntos HTML, se debe a la resurrección de la botnet Cutwail, responsable de spamvertising de estas campañas.
Créditos: ZDNet
Al usar las redes de sensores de la compañía, los investigadores observaron tres picos en las campañas maliciosas de spamvertised que usan los archivos adjuntos HTML para servir exploits del lado del cliente que sorprenden a usuarios vulnerables.
Las campañas en cuestión son:
- La campaña de spam de FDIC: "cuenta bancaria suspendida"
- La campaña de spam de la "Declaración de finales de agosto"
- y la campaña de spam de "escaneo de Xerox"
Una vez que el usuario descarga y ve el archivo malicioso HTML adjunto, sin saberlo el exploit de JavaScript del lado del cliente lo redirigirá a una URL maliciosa en la red de los delincuentes cibernéticos, la cual depende actualmente del paquete de explotación del malware web Phoenix.
Créditos: m86security
Más detalles:
La página de destino que contiene el código del exploit es un equipo utilizado por los ciberdelincuentes, en particular para esta campaña de spam, el equipo de Phoenix Exploit. Este kit de exploit está disponible para los ciberdelincuentes para comprar y usar, todo lo que necesitan es su propio servidor web que puede ejecutar scripts de PHP. La imagen que se muestra a continuación es la captura de pantalla de la página de administración del "paquete de exploits de Phoenix". El símbolo "-" en Refer, en las estadísticas, sugieren que la mayoría de los visitantes no venían de otro sitio web, sino de los archivos HTML que los cibercriminales difundieron. También muestra más de 4.000 visitantes, el 15% de los cuales fueron explotados con éxito.
Una vez que los investigadores obtuvieron acceso a la línea de comandos y control de la interfaz del kit de exploits, se dieron cuenta de que la mayoría de los referentes provenían de referentes "vacíos", lo que significa que éstos son los usuarios finales y corporativos que están descargando y visualizando los archivos adjuntos maliciosos en sus computadoras.
Se aconseja a los usuarios finales evitar la interacción con los mensajes de correo electrónico utilizados en estas campañas de spam, así como garantizar que no se estén ejecutando versiones no actualizadas de software de terceros en su PC, así como en los plugins del navegador.
