Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Kit de exploits Fiesta usado en ataque al sitio web Subtorrents
Los visitantes del sitio web SubTorrents[dot]com están siendo redirigidos a lo que parece ser una variación del Kit de explotación Fiesta, el sitio, además, distribuye el malware Kovter, escribió en un blog el lunes Jerome Segura, investigador de seguridad senior de Malwarebytes.
La razón de las redirecciones maliciosas es que el sitio web SubTorrents ha sido comprometido y está ejecutando un iFrame oculto, escribió Segura. Navegar hacia cualquier página en el sitio web activará el código malicioso incrustado directamente en el sitio mismo, se dijo a SCMagazine.com por correo electrónico el martes.
Segura sólo pudo especular sobre cómo se vio comprometida la página web.
"Puede ser que los atacantes seaprovechasen una vulnerabilidad en el sitio o hayan robado las credenciales a uno de los administradores", dijo Segura, explicando que él cree que el sitio web todavía está comprometido y ha estado así durante cerca de una semana. Agregó que los administradores del sitio web fueron notificados, pero Malwarebytes no ha recibido respuesta.
Tras la activación del código malicioso, los visitantes son redirigidos en última instancia al "Fiesta Exploit Kit" que, señaló Segura, tiene un nuevo formato. Dijo que la mayoría de los kits de exploits se pueden reconocer por los patrones en sus URL (cadenas utilizadas como parámetros para permitir el proceso de explotación adecuado), el "Fiesta Exploit Kit" tiene unas URL muy distintivas que destacan en comparación con otros kits.
"Tradicionalmente, Fiesta usaba punto y coma con números al final de cada una de sus URL", dijo Segura. "No hace mucho el kit introdujo nuevos caracteres especiales, pero también se deshizo de los puntos y comas para utilizar comas en su lugar. Ese cambio se deshará de algunos escáneres de seguridad que dependen de patrones de URL, también podría ser un problema debido a la naturaleza de la coma, es el separador de caracteres más popular (por ejemplo, usado en CSV [valores separados por comas])".
El kit de exploits Fiesta usa vulnerabilidades en Silverlight, Java, Internet Explorer y Flash para distribuir a los visitantes Kovter, malware que está siendo utilizado para fraudes de publicidad, dijo Segura, señalando que el malware reconoce máquinas virtuales y sólo se instala en los equipos originales.
