Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
122 foros en línea redirigen visitantes al kit de exploits Fiesta
Más de 100 foros web han sido comprometidos al ser inyectados con código que redirige a sitios que dan alojamiento al paquete de exploits Fiesta, encontraron investigadores de Cyphort.
Estos no son foros muy populares, pero manejan un número respetable de usuarios que gustan de discutir sus proyectos sobre hágalo-usted-mismo, animales, lucha, buceo, novedades del PS3 y otros. Los foros están impulsados por software en línea para foros, ya sea vBulletin o IP Board, para los cuales a menudo se encuentran nuevas vulnerabilidades que se dan a conocer publicamente.
Los investigadores han encontrado 122 foros comprometidos en total.
Después de que los visitantes son redireccionados al sitio que aloja el paquete de exploits, éste trata de explotar una vulnerabilidad de hace 2 años en Internet Explorer (CVE-2013-2551) y una nueva vulnerabilidad en Flash (CVE-2015-0313).
Si tiene éxito, los usuarios serán cargados con varias piezas de malware: un dropper cuyo objetivo es descargar malware adicional, el troyano Gamarue que roba información, el troyano FleerCivet que secuestra clics del ratón y la puerta trasera Ruperk.
El dropper, el troyano de secuestro de clics y la puerta trasera no se ejecutan en ambientes virtuales. El dropper verifica la existencia de cadenas que indican si el software de virtualización VirtualBox, Qemu o VMware está presente en el equipo.
Además de robar información, Gamarue también está encargado de deshabilitar algunas características de seguridad de Windows. El proposito principal de FleerCivet es abrir muchas instancias ocultas de Internet Explorer que ingresan a sitios y simulan dar clics legítimos en anuncios.
La puerta trasera Ruperk envía información del sistema a su servidor C&C y puede recibir instrucciones para actualizarse o borrarse a sí mismo, o bien descargar archivos adicionales.
"Creemos que este paquete de malware está diseñado para campañas de fraude de clics y para su distribución empleando ataques de watering hole. El blindaje contra todos los ambientes de virtualización está hecho para evitar la detección por sistemas antifraude de clics", explicó Paul Kimayong de Cyphort.
"Esta campaña de malware atacó a más de 100 foros que al parecen sirven más a usuarios caseros individuales", indicó, añadiendo que este tipo de clics hacen la estafa menos notable.
