• Tweet

Después de que un sitio de derechos humanos fuera infectado con un exploit de día cero, investigadores de seguridad de Symantec descubrieron otros dos sitios comprometidos en las Filipinas y en Hong Kong.

El ataque drive-by download que afectó el sitio de derechos humanos fue descubierto por la empresa de seguridad Armorize el 13 de abril de este año. El sitio web comprometido infectaba a los visitantes con malware que explotaba una vulnerabilidad de día cero en el reproductor Flash (CVE-2011-0611) y usaba  una técnica poco común conocida como  drive-by-caching.

Symantec encontró una infección similar en el sitio de un partido político asiático, el cual enviaba exactamente el mismo malware que explotaba la misma vulnerabilidad. Los exploits fueron enviados desde un sitio web de un grupo de derechos humanos en Filipinas.

“A juzgar por los exploits y los nombres de archivos, parece ser que el atacante es el mismo grupo que comprometió, el 13 de abril, el sitio web de derechos humanos del Reino Unido”, indicaron los investigadores de Symantec.

El sitio web del partido político asiático fue arreglado el 12 de mayo y el de derechos humanos de Filipinas, el 13 de mayo. Los investigadores determinaron que estuvieron infectados desde el 18 de abril, fecha en la que el malware era todavía de día cero (sin solución).

Además, los investigadores de Symantec descubrieron en Hong Kong otro sitio web, una infección con las mismas características, la cual  sigue activa y se encuentra infectando a los visitantes de la página.

En los tres casos, el malware usado no fue detectado por ninguno de los motores antivirus de Virus Total y reportaba a direcciones IP ubicadas en  la misma red en Hong Kong.

“Los métodos y exploits utilizados son extraños. Se utilizaron exploits de día cero, la tasa de detección del malware fue mínima. Esto nos hace creer que este fue un ataque dirigido a miembros del gobierno y a grupos de derechos humanos”, dijo Gary Krall, director técnico de Symantec.