Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Posible actualización para el Toolkit del exploit Blackhole
La firma FireEye atiende miles de eventos relacionados a BlackHole cada día a través de su base de clientes. Recientemente se recibierón reportes que decían que el kit de herramientas había sido actualizado. La siguiente página web da buenos detalles acerca de qué características se han incluido en el nuevo toolkit: ttp://malware.dontneedcoffee.com/2012/09/blackhole2.0.html.
Inmediatamente se comenzó a buscar a través de la protección de malware FireEye Cloud (MPC) para ver si el motor de ejecución virtual de FireEye había visto casos de este nuevo toolkit. (El motor de ejecución virtual FireEye es una maquina virtual patentanda como tecnología de FireEye que permite detectar amenazas que nunca antes se habían visto.) FireEye encontró una gran cantidad de direcciones URL, la primera de las cuales se detectó el 3 de septiembre de 2012.
Entrando en algunos detalles técnicos se pueden ver particularidades de las versiones anteriores de BlackHole.
Un usuario navega por un sitio web comprometido que lo redirecciona a la página de un exploit que coincide con el patrón "main.php- Page =", o en este caso "forum.php- Tp =." Después de la explotación exitosa se descarga un binario. Esta secuencia de eventos se captura en la figura anterior.
Así es como se ve la nueva comunicación. La captura muestra la URL de la descarga del exploit PDF.
La siguiente es una lista de URLs que FireEye ha detectado a través de su base de clientes desde la primera detección del 3 de septiembre. Estas direcciones URL, si se confirman como BlackHole, muestran una clara desviación de los patrones de URI convencionales empleados por el toolkit. A continuación se muestra un subconjunto de las direcciones URL que se han detectado.
Si bien, FireEye no está absolutamente seguro de que se habla en realidad de una versión más reciente del toolkit BlackHole, los patrones de URL que se han visto en el MPC FireEye parecen encajar en las descripciones mencionadas por el autor de BlackHole hasta cierto punto. Pero mientras haya cada vez más asignación al azar en las URL y más técnicas audiovisuales de evasión de este tipo que sean adoptadas por toolkits de malware, no debería sorprendernos si se trata de otros toolkits.
Se adjunta esta gráfica que representa la tasa de detección desde el 3 de septiembre para estos tipos de URL.
El análisis y la confirmación de un malware recién descubierto o toolkit lleva tiempo y requiere de la colaboración de la industria en general.
